Condividi tramite


Configurare la sincronizzazione con ambito da Microsoft Entra ID a Microsoft Entra Domain Services tramite l'Interfaccia di amministrazione di Microsoft Entra

Per fornire servizi di autenticazione, Microsoft Entra Domain Services sincronizza utenti e gruppi da Microsoft Entra ID. In un ambiente ibrido, gli utenti e i gruppi di un ambiente Active Directory Domain Services (AD DS) locale possono essere prima sincronizzati con Microsoft Entra ID usando Microsoft Entra Connect e quindi sincronizzati con un dominio gestito di Domain Services.

Per impostazione predefinita, tutti gli utenti e i gruppi di una directory Microsoft Entra vengono sincronizzati con un dominio gestito. Se solo alcuni utenti devono usare Domain Services, è possibile scegliere di sincronizzare solo i gruppi di utenti. È possibile filtrare la sincronizzazione per i gruppi locali, solo cloud o entrambi.

Questo articolo illustra come configurare la sincronizzazione con ambito e quindi modificare o disabilitare il set di utenti con ambito usando l'Interfaccia di amministrazione di Microsoft Entra. Si possono anche completare questi passaggi usando PowerShell.

Screenshot dell'opzione filtro di gruppo.

Operazioni preliminari

Per completare le procedure descritte in questo articolo, sono necessari i privilegi e le risorse seguenti:

Panoramica della sincronizzazione con ambito

Per impostazione predefinita, tutti gli utenti e i gruppi di una directory Microsoft Entra vengono sincronizzati con un dominio gestito. È possibile definire l'ambito della sincronizzazione solo per gli account utente creati in Microsoft Entra ID o per sincronizzare tutti gli utenti.

Se solo alcuni gruppi di utenti devono accedere al dominio gestito, è possibile selezionare Filtra per entitlement gruppo per sincronizzare solo tali gruppi. Questa sincronizzazione con ambito è basata solo sul gruppo. Quando si configura la sincronizzazione con ambito basato su gruppo, solo gli account utente che appartengono ai gruppi specificati vengono sincronizzati con il dominio gestito. I gruppi annidati non vengono sincronizzati; solo i gruppi specificati vengono sincronizzati.

È possibile modificare l'ambito di sincronizzazione prima o dopo la creazione del dominio gestito. L'ambito della sincronizzazione è definito da un'entità servizio con l'identificatore dell'applicazione 2565bd9d-da50-47d4-8b85-4c97f669dc36. Per evitare la perdita di ambito, non eliminare o modificare l'entità servizio. Se viene eliminato accidentalmente, l'ambito di sincronizzazione non può essere recuperato.

Tenere presente quanto segue se si modifica l'ambito di sincronizzazione:

  • Viene eseguita una sincronizzazione completa.
  • Gli oggetti non più necessari nel dominio gestito vengono eliminati. Vengono creati nuovi oggetti nel dominio gestito.

Per altre informazioni sul processo di sincronizzazione, vedere Informazioni sulla sincronizzazione in Microsoft Entra Domain Services.

Abilitare sincronizzazione con ambito

Per abilitare la sincronizzazione con ambito nell'Interfaccia di amministrazione di Microsoft Entra, seguire questa procedura:

  1. Nell'Interfaccia di amministrazione di Microsoft Entra cercare e selezionare Microsoft Entra Domain Services. Scegliere il dominio gestito, ad esempio aaddscontoso.com.

  2. Selezionare Sincronizzazione dal menu a sinistra.

  3. Per Ambito di sincronizzazione selezionare Tutto o Solo cloud.

  4. Per filtrare la sincronizzazione dei gruppi selezionati, fare clic su Mostra gruppi selezionati, scegliere se sincronizzare gruppi solo cloud, gruppi locali o entrambi. Ad esempio lo screenshot seguente mostra come sincronizzare solo tre gruppi creati in Microsoft Entra ID. Solo gli utenti che appartengono a tali gruppi avranno i propri account sincronizzati con Domain Services.

    Screenshot che mostra il filtro in base ai gruppi solo cloud.

  5. Per aggiungere gruppi, fare clic su Aggiungi gruppi, quindi cercare e scegliere i gruppi da aggiungere.

  6. Quando vengono apportate tutte le modifiche, selezionare Salva ambito di sincronizzazione.

La modifica dell'ambito della sincronizzazione fa sì che il dominio gestito risincronizzi tutti i dati. Gli oggetti non più necessari nel dominio gestito vengono eliminati e la risincronizzazione potrebbe richiedere del tempo.

Modificare sincronizzazione con ambito

Per modificare l'elenco di gruppi i cui utenti devono essere sincronizzati con il dominio gestito, seguire questa procedura:

  1. Nell'Interfaccia di amministrazione di Microsoft Entra cercare e selezionare Microsoft Entra Domain Services. Scegliere il dominio gestito, ad esempio aaddscontoso.com.
  2. Selezionare Sincronizzazione dal menu a sinistra.
  3. Per aggiungere un gruppo, scegliere + Aggiungi gruppi nella parte superiore, quindi scegliere i gruppi da aggiungere.
  4. Per rimuovere un gruppo dall'ambito di sincronizzazione, selezionarlo nell'elenco dei gruppi attualmente sincronizzati e scegliere Rimuovi gruppi.
  5. Quando vengono apportate tutte le modifiche, selezionare Salva ambito di sincronizzazione.

La modifica dell'ambito della sincronizzazione fa sì che il dominio gestito risincronizzi tutti i dati. Gli oggetti non più necessari nel dominio gestito vengono eliminati e la risincronizzazione potrebbe richiedere del tempo.

Disabilitare la sincronizzazione con ambito

Per disabilitare la sincronizzazione con ambito gruppo per un dominio gestito, completare la procedura seguente:

  1. Nell'Interfaccia di amministrazione di Microsoft Entra cercare e selezionare Microsoft Entra Domain Services. Scegliere il dominio gestito, ad esempio aaddscontoso.com.
  2. Selezionare Sincronizzazione dal menu a sinistra.
  3. Deselezionare la casella di controllo Mostra gruppi selezionati e fare clic su Salva ambito di sincronizzazione.

La modifica dell'ambito della sincronizzazione fa sì che il dominio gestito risincronizzi tutti i dati. Gli oggetti non più necessari nel dominio gestito vengono eliminati e la risincronizzazione potrebbe richiedere del tempo.

Passaggi successivi

Per altre informazioni sul processo di sincronizzazione, vedere Informazioni sulla sincronizzazione in Microsoft Entra Domain Services.