Condividi tramite

Effettuare il provisioning di Microsoft Entra ID in Active Directory - Configurazione

  • Articolo

Il documento seguente illustra come configurare Microsoft Entra Cloud Sync per il provisioning da Microsoft Entra ID ad Active Directory. Per informazioni sull'approvvigionamento da AD a Microsoft Entra ID, consultare Configurare - Provisioning di Active Directory in Microsoft Entra ID con Microsoft Entra Cloud Sync

Importante

L'anteprima pubblica del writeback del gruppo v2 in Microsoft Entra Connect Sync non è più disponibile a partire dal 30 giugno 2024. Questa funzionalità non è più disponibile in questa data e non è più supportata in Microsoft Entra Connect Sync per effettuare il provisioning dei gruppi di sicurezza cloud in Active Directory. La funzionalità continua a funzionare oltre la data di interruzione; tuttavia, non riceve più supporto e potrebbe smettere di funzionare in qualsiasi momento senza preavviso.

Offriamo una funzionalità simile in Microsoft Entra Cloud Sync, chiamata Provisioning dei gruppi in Active Directory, che puoi utilizzare invece di Group Writeback v2 per il provisioning di gruppi di sicurezza cloud in Active Directory. Stiamo lavorando per migliorare questa funzionalità in Microsoft Entra Cloud Sync insieme ad altre nuove funzionalità che stiamo sviluppando in Microsoft Entra Cloud Sync.

I clienti che usano questa funzionalità di anteprima in Microsoft Entra Connect Sync devono cambiare la configurazione da Microsoft Entra Connect Sync a Microsoft Entra Cloud Sync. È possibile scegliere di spostare tutta la sincronizzazione ibrida in Microsoft Entra Cloud Sync (se supporta le proprie esigenze). È anche possibile eseguire Microsoft Entra Cloud Sync in parallelo e spostare solo il provisioning del gruppo di sicurezza cloud verso Active Directory tramite Microsoft Entra Cloud Sync.

I clienti che effettuano il provisioning di gruppi di Microsoft 365 in Active Directory possono continuare a usare il writeback dei gruppi v1 per questa funzionalità.

È possibile valutare il passaggio esclusivamente a Microsoft Entra Cloud Sync usando la procedura guidata di sincronizzazione utente .

Configurazione dell'approvvigionamento

Per configurare il provisioning, attenersi alla procedura seguente.

  1. Accedi all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore di identità ibrida .

  2. Passare a Identità >Gestione ibrida>Microsoft Entra Connect>Cloud Sync.

    Screenshot che mostra la home page di Microsoft Entra Connect Cloud Sync.

  1. Selezionare Nuova configurazione.
  2. Selezionare Microsoft Entra ID to AD sync.

Screenshot della selezione della configurazione.

  1. Nella schermata di configurazione selezionare il dominio e se abilitare la sincronizzazione dell'hash delle password. Fare clic su Crea.

Screenshot di una nuova configurazione.

  1. Verrà visualizzata la schermata Attività iniziali. Da qui è possibile continuare a configurare la sincronizzazione cloud.

Screenshot delle sezioni di configurazione.

  1. La configurazione viene suddivisa nelle 5 sezioni seguenti.
Sezione Descrizione
1. Aggiungere filtri di ambito Usare questa sezione per definire gli oggetti visualizzati in Microsoft Entra ID
2. Eseguire il mapping degli attributi Usare questa sezione per eseguire il mapping degli attributi tra utenti/gruppi locali con gli oggetti Microsoft Entra
3. Test Testare la configurazione prima di distribuirla
4. Visualizzare le proprietà predefinite Visualizzare l'impostazione predefinita prima di abilitarle e apportare modifiche dove appropriato
5. Abilitare la tua configurazione Una volta pronto, abilitare la configurazione e utenti/gruppi inizieranno la sincronizzazione.

Definire l'ambito del provisioning per gruppi specifici

È possibile configurare l'agente per sincronizzare tutti o specifici gruppi di sicurezza. È possibile configurare gruppi e unità organizzative all'interno di una configurazione.

  1. Sulla schermata di Configurazione iniziale. Fare clic su Aggiungi filtri di ambito accanto all'icona oppure su Filtri di ambito a sinistra sotto Gestisci.

Screenshot delle sezioni dei filtri di ambito.

  1. Selezionare il filtro di ambito. Il filtro può essere uno dei seguenti:
  • Tutti i gruppi di sicurezza: definisce l'ambito della configurazione da applicare a tutti i gruppi di sicurezza cloud.
  • Gruppi di sicurezza selezionati: definisce l'ambito della configurazione da applicare a gruppi di sicurezza specifici.
  1. Per gruppi di sicurezza specifici selezionare Modifica gruppi e selezionare i gruppi desiderati dall'elenco.

Nota

Se si seleziona un gruppo di sicurezza con un gruppo di sicurezza annidato come membro, solo il gruppo annidato verrà riscritto e non i membri. Ad esempio, se un gruppo di sicurezza Sales è membro del gruppo di sicurezza Marketing, solo il gruppo Sales stesso verrà riscritto e non i membri del gruppo Sales.

Se si desidera annidare i gruppi ed eseguirne il provisioning in Active Directory, sarà necessario aggiungere anche tutti i gruppi membri all'ambito.

  1. È possibile usare la casella Contenitore di destinazione per definire l'ambito dei gruppi che usano un contenitore specifico. Eseguire questa attività usando l'attributo parentDistinguishedName. Usare una mappatura costante, diretta o di espressione.

È possibile configurare più contenitori di destinazione usando un'espressione di mapping degli attributi con la funzione Switch(). Con questa espressione, se il valore displayName è Marketing o Sales, il gruppo viene creato nell'unità organizzativa corrispondente. Se non esiste alcuna corrispondenza, il gruppo viene creato nell'unità organizzativa predefinita.

Switch([displayName],"OU=Default,OU=container,DC=contoso,DC=com","Marketing","OU=Marketing,OU=container,DC=contoso,DC=com","Sales","OU=Sales,OU=container,DC=contoso,DC=com")

Screenshot dell'espressione dei filtri di delimitazione.

  1. Il filtro dell'ambito basato su attributi è supportato. Per altre informazioni, vedere Filtraggio dell'ambito basato su attributi e Riferimenti per la scrittura di espressioni per la mappatura degli attributi in Microsoft Entra ID e Scenario - Uso delle estensioni di directory con il provisioning di gruppi in Active Directory.
  2. Dopo aver configurato i filtri di ambito, fare clic su Salva.
  3. Dopo il salvataggio, verrà visualizzato un messaggio che indica cosa è ancora necessario fare per configurare la sincronizzazione cloud. È possibile fare clic sul collegamento per continuare. Screenshot del suggerimento per i filtri di ambito.

Definire l'ambito del provisioning per gruppi specifici utilizzando le estensioni del servizio di directory

Per scopi e filtri più avanzati, è possibile configurare l'uso delle estensioni di directory. Per un quadro generale delle estensioni della directory, consultare Estensioni della directory per il provisioning di Microsoft Entra ID su Active Directory

Per un'esercitazione dettagliata su come estendere lo schema e quindi usare l'attributo di estensione della directory con il provisioning della sincronizzazione cloud in Active Directory, vedere Scenario - Uso delle estensioni della directory con il provisioning di gruppi in Active Directory.

Mappatura degli attributi

Microsoft Entra Cloud Sync consente di eseguire facilmente il mapping degli attributi tra gli oggetti utente/gruppo locali e gli oggetti in Microsoft Entra ID.

Screenshot delle mappature degli attributi predefiniti.

Puoi personalizzare i mapping degli attributi predefiniti in base alle esigenze aziendali. Quindi, puoi modificare o eliminare i mapping degli attributi esistenti oppure crearne di nuovi.

Dopo il salvataggio, verrà visualizzato un messaggio che indica cosa è ancora necessario fare per configurare la sincronizzazione cloud. È possibile fare clic sul collegamento per continuare.

Per altre informazioni, vedere Mapping degli attributi e Informazioni di riferimento per la scrittura di espressioni per i mapping degli attributi in Microsoft Entra ID.

Estensioni della directory e mappatura di attributi personalizzati.

Microsoft Entra Cloud Sync consente di estendere la directory con estensioni e fornisce il mapping degli attributi personalizzato. Per ulteriori informazioni, vedere Estensioni della directory e mappatura di attributi personalizzati.

Attivazione su richiesta

Microsoft Entra Cloud Sync consente di testare le modifiche di configurazione applicando queste modifiche a un singolo utente o gruppo.

Screenshot dell'approvvigionamento su richiesta.

È possibile usarlo per convalidare e verificare che le modifiche apportate alla configurazione siano state applicate correttamente e siano sincronizzate correttamente con Microsoft Entra ID.

Dopo il test, verrà visualizzato un messaggio che indica cosa è ancora necessario fare per configurare la sincronizzazione cloud. È possibile fare clic sul collegamento per continuare.

Per altre informazioni, vedere Provisioning su richiesta.

Eliminazioni accidentali e notifiche tramite posta elettronica

La sezione delle proprietà predefinite fornisce informazioni sulle eliminazioni accidentali e le notifiche tramite posta elettronica.

La funzionalità di eliminazione accidentale è progettata per proteggere l'utente da modifiche accidentali alla configurazione e alle modifiche apportate alla directory locale che influirebbero su molti utenti e gruppi.

Questa funzionalità consente di:

  • Configurare la possibilità di impedire eliminazioni accidentali automaticamente.
  • Impostare il numero di oggetti (soglia) oltre il quale la configurazione avrà effetto
  • Configurare un indirizzo di posta elettronica di notifica in modo che possano ricevere una notifica tramite posta elettronica dopo che il processo di sincronizzazione in questione viene messo in quarantena per questo scenario

Per altre informazioni, vedere Eliminazioni accidentali

Fare clic sulla matita accanto a Informazioni di base per modificare le impostazioni predefinite in una configurazione.

Abilitare la configurazione

Dopo aver finalizzato e testato la configurazione, è possibile abilitarla.

Fare clic su Abilita configurazione per abilitarla.

Quarantena

La sincronizzazione cloud monitora l'integrità della configurazione e inserisce oggetti non integri in uno stato di quarantena. Se la maggior parte o tutte le chiamate effettuate sul sistema di destinazione hanno esito negativo in modo coerente a causa di un errore, ad esempio credenziali di amministratore non valide, il processo di sincronizzazione viene contrassegnato come in quarantena. Per altre informazioni, vedere la sezione sulla risoluzione dei problemi relativa alla quarantena.

Riavviare il provisioning

Se non vuoi attendere la prossima esecuzione pianificata, attiva l'esecuzione del provisioning utilizzando il pulsante Riavvia sincronizzazione.

  1. Accedi al Centro di amministrazione di Microsoft Entra come almeno un amministratore di identità ibrida .

  2. Passare a Identità Gestione ibrida>Microsoft Entra Connect>Cloud Sync>.

    Screenshot che mostra la home page di Microsoft Entra Connect Cloud Sync.

  1. In Configurazione selezionare la configurazione.

  2. Nella parte superiore selezionare Riavvia sincronizzazione.

Rimuovere una configurazione

Per eliminare una configurazione, seguire questa procedura.

  1. Accedi al Centro di amministrazione di Microsoft Entra come almeno un amministratore di identità ibrida .

  2. Passare a Identità >Gestione ibrida>Microsoft Entra Connect>Cloud Sync.

    Screenshot che mostra la home page di Microsoft Entra Connect Cloud Sync.

  1. In Configurazione selezionare la configurazione.

  2. Nella parte superiore della schermata di configurazione selezionare Elimina configurazione.

Importante

Non viene visualizzata alcuna conferma prima di eliminare una configurazione. Assicurarsi che questa sia l'azione che si vuole eseguire prima di selezionare Elimina.

Passaggi successivi