Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Microsoft Entra Connect installa un servizio locale che orchestra la sincronizzazione tra Active Directory e Microsoft Entra ID. Il servizio di sincronizzazione Microsoft Entra ID Sync (ADSync) viene eseguito in un server nell'ambiente locale. Le credenziali per il servizio vengono impostate per impostazione predefinita nelle installazioni Express, ma possono essere personalizzate per soddisfare i requisiti di sicurezza dell'organizzazione. Queste credenziali non vengono usate per connettersi alle foreste locali o a Microsoft Entra ID.
La scelta dell'account del servizio ADSync è una decisione importante di pianificazione da prendere prima di installare Microsoft Entra Connect. Ogni tentativo di modificare le credenziali dopo l'installazione comporterà l'errore di avvio del servizio, la perdita dell'accesso al database di sincronizzazione e l'autenticazione con le directory connesse (Azure e Active Directory Domain Services). Non viene eseguita alcuna sincronizzazione finché non vengono ripristinate le credenziali originali.
Il servizio di sincronizzazione può essere eseguito con account diversi, Può funzionare con un account servizio virtuale (VSA), un account servizio gestito (gMSA/sMSA) o un normale account utente. Le opzioni supportate sono state modificate con i rilasci di aprile 2017 e marzo 2021 di Microsoft Entra Connect se si esegue una nuova installazione. Se si esegue un aggiornamento da una versione precedente di Microsoft Entra Connect, tali opzioni non sono disponibili.
| Tipo di account | Opzione di installazione | Descrizione |
|---|---|---|
| Account del servizio virtuale | Rapida e personalizzata, aprile 2017 e versioni successive | Un account del servizio virtuale viene usato per tutte le installazioni rapide, ad eccezione delle installazioni in un controller di dominio. Quando si usa l'installazione personalizzata, è l'opzione predefinita, a meno che non si usi un'altra opzione. |
| Account del servizio gestito | Personalizzata, aprile 2017 e versioni successive | Se si usa un server SQL remoto, è consigliabile usare un account del servizio gestito del gruppo. |
| Account del servizio gestito | Rapida e personalizzata, marzo 2021 e versioni successive | Un account del servizio gestito autonomo con prefisso ADSyncMSA_ viene creato durante l'installazione per le installazioni rapide quando viene installato in un controller di dominio. Quando si usa l'installazione personalizzata, è l'opzione predefinita, a meno che non si usi un'altra opzione. |
| Account utente | Rapida e personalizzata, da aprile 2017 a marzo 2021 | Un account utente con prefisso AAD_ viene creato durante l'installazione per le installazioni rapide quando viene installato in un controller di dominio. Quando si usa l'installazione personalizzata, è l'opzione predefinita, a meno che non si usi un'altra opzione. |
| Account utente | Rapida e personalizzata, marzo 2017 e versioni precedenti | Un account utente con prefisso AAD_ viene creato durante l'installazione per le installazioni rapide. Se si usa l'installazione personalizzata, è possibile specificare un altro account. |
Importante
Se si usa Connect con una build di marzo 2017 o precedente, non reimpostare la password nell'account del servizio poiché Windows elimina le chiavi di crittografia per motivi di sicurezza. Non è possibile modificare l'account in qualsiasi altro account senza reinstallare Microsoft Entra Connect. Se si esegue l'aggiornamento a un build di aprile 2017 o successiva, è possibile modificare la password dell'account del servizio ma non l'account in uso.
Importante
È possibile impostare solo l'account del servizio durante la prima installazione. Non è supportata la modifica dell'account del servizio dopo il completamento dell'installazione. Se è necessario modificare la password dell'account del servizio, questa operazione è supportata e le istruzioni sono disponibili qui.
La tabella seguente illustra le opzioni predefinite, consigliate e supportate per l'account del servizio di sincronizzazione.
Legenda:
- Il testo in grassetto indica l'opzione predefinita e, nella maggior parte dei casi, l'opzione consigliata.
- L'opzione consigliata viene indicata in corsivo quando non è quella predefinita.
- Non in grassetto: opzione supportata
- Account locale: account utente locale sul server
- Account di dominio: account utente di dominio
- sMSA: account autonomo di Servizio Gestito
- gMSA: account di servizio gestito di gruppo
| Tipo di computer |
LocalDB Express |
LocalDB/LocalSQL Personalizzata |
SQL remota personalizzata |
|---|---|---|---|
| computer aggiunto a un dominio | VSA |
VSA sMSA gMSA Account locale Account di dominio |
Account di dominio gMSA |
| Controller di dominio | Smsa |
sMSA gMSA Account di dominio |
Account di dominio gMSA |
Account del servizio virtuale
Un account del servizio virtuale è un tipo speciale di account locale gestito che non ha una password ed è gestito automaticamente da Windows.
L'account del servizio virtuale deve essere usato con scenari in cui il motore di sincronizzazione e SQL sono sullo stesso server. Se però si usa un server SQL remoto, è consigliabile usare un account del servizio gestito del gruppo.
L'account del servizio virtuale non può essere usato in un controller di dominio a causa di problemi con laData Protection API (DPAPI) di Windows.
Account del servizio gestito
Se si usa un server SQL remoto, è consigliabile usare un account del servizio gestito del gruppo. Per ulteriori informazioni su come preparare Active Directory per gli account di servizio gestiti di gruppo, vedere la Panoramica sugli Account di Servizio Gestiti di Gruppo.
Per usare questa opzione, nella pagina Installazione dei componenti necessari selezionare Usa un account del servizio esistente e quindi Account del servizio gestito.
È inoltre supportato l'uso di un account di servizio gestito autonomo. Tuttavia l'opzione può essere usata solo nel computer locale e non offre alcun vantaggio se viene usata con un account del servizio virtuale predefinito.
Account del servizio gestito indipendente generato automaticamente
Se si installa Microsoft Entra Connect in un controller di dominio, un account del servizio gestito autonomo viene creato tramite l'installazione guidata (a meno che non si specifichi l'account da usare nelle impostazioni personalizzate). L'account, preceduto da ADSyncMSA_, viene usato per l'esecuzione del servizio di sincronizzazione effettivo.
Si tratta di un account di dominio gestito che non ha una password ed è gestito automaticamente da Windows.
Questo account deve essere usato con scenari in cui il motore di sincronizzazione e SQL sono sullo stesso controller di dominio.
Account utente
L'installazione guidata crea un account del servizio locale (a meno che non si specifichi l'account da usare nelle impostazioni personalizzate). L'account, preceduto da AAD_, viene usato per l'esecuzione del servizio di sincronizzazione effettivo. Se si installa Microsoft Entra Connect in un Controller di dominio, l'account viene creato nel dominio. L'account del servizio AAD_ deve essere presente nel dominio se:
- Si usa un server remoto che esegue SQL Server
- Si usa un proxy che richiede l'autenticazione
L'account viene creato con una password lunga e complessa priva di scadenza.
Questo account viene usato per archiviare in modo sicuro le password per gli altri account. Le password di questi altri account vengono archiviate crittografate nel database. Le chiavi private per le chiavi di crittografia sono protette tramite la crittografia a chiave segreta dei servizi di crittografia con Data Protection API (DPAPI) di Windows.
Se si usa una versione completa di SQL Server, l'account del servizio corrisponde al DBO del database creato per il motore di sincronizzazione. Il servizio non funzionerà come previsto con tutte le altre autorizzazioni. Viene creato anche un login SQL.
L'account concede inoltre l’autorizzazione a file, chiavi del Registro di sistema e altri oggetti correlati al motore di sincronizzazione.
Passaggi successivi
Altre informazioni sull'integrazione di identità locali con Microsoft Entra ID.