Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
La maggior parte degli argomenti su come usare Microsoft Entra Connect presuppone che si inizi con un nuovo tenant di Microsoft Entra e che non ci siano utenti o altri oggetti. Tuttavia, se si è iniziato con un tenant di Microsoft Entra, è stato popolato con utenti e altri oggetti e ora si vuole usare Connect, questo argomento è adatto.
Nozioni di base
Un oggetto in Microsoft Entra ID viene gestito nel cloud o in locale. Per un singolo oggetto, non è possibile gestire alcuni attributi in locale e altri attributi in Microsoft Entra ID. Ogni oggetto ha un flag che indica dove viene gestito l'oggetto.
È possibile gestire alcuni utenti in locale e altri nel cloud. Uno scenario comune per questa configurazione è un'organizzazione con una combinazione di ruoli di lavoro contabili e addetti alle vendite. I lavoratori del reparto contabilità hanno un account AD locale, ma gli addetti alle vendite no, tuttavia entrambi hanno un account in Microsoft Entra ID. Si gestirebbero alcuni utenti in locale e alcuni in Microsoft Entra ID.
Ci sono alcuni problemi aggiuntivi da considerare quando si è iniziato a gestire gli utenti in Microsoft Entra ID che sono presenti anche in locale e in un secondo momento si vuole usare Microsoft Entra Connect.
Sincronizzare con gli utenti esistenti in Microsoft Entra ID
Quando si avvia la sincronizzazione con Microsoft Entra Connect, l'API del servizio Microsoft Entra controlla ogni nuovo oggetto in ingresso e tenta di trovare un oggetto esistente in modo che corrisponda. Per questo processo sono usati tre attributi: userPrincipalName, proxyAddressese sourceAnchor/immutableID. Una corrispondenza in userPrincipalName o proxyAddresses è nota come "soft-match". Una corrispondenza in sourceAnchor è nota come "hard-match". Per l'attributo proxyAddresses, per la valutazione viene usato solo il valore con SMTP:, ovvero l'indirizzo di posta elettronica principale.
La corrispondenza viene valutata solo per i nuovi oggetti provenienti da Active Directory locale. Se si modifica un oggetto esistente in modo che corrisponda a uno di questi attributi, viene visualizzato un errore.
Se Microsoft Entra ID trova un oggetto in cui i valori dell'attributo corrispondono al nuovo oggetto in ingresso da Microsoft Entra Connect, acquisisce l'oggetto in Microsoft Entra ID e l'oggetto gestito dal cloud in precedenza viene convertito in gestito in locale. Tutti gli attributi in Microsoft Entra ID con un valore in AD locale vengono sovrascritti con il rispettivo valore locale.
Avvertimento
Poiché tutti gli attributi in Microsoft Entra ID verranno sovrascritti dal valore locale, assicurarsi di disporre di dati validi in locale. Ad esempio, se si ha solo l'indirizzo di posta elettronica gestito in Microsoft 365 e non è stato aggiornato in Active Directory Domain Services locale, si perde qualsiasi valore in Microsoft Entra ID /Microsoft 365 che non sono presenti in Active Directory Domain Services.
Importante
Se si usa la sincronizzazione dell'hash delle password, che è sempre abilitata con l'installazione rapida, l'hash delle password in Microsoft Entra ID viene sovrascritto con l'hash della password da AD locale. Se gli utenti sono abituati a gestire password diverse, è necessario informarli che devono usare la password di Active Directory locale.
La sezione e l'avviso precedenti devono essere considerati nella pianificazione. Se sono state apportate molte modifiche in Microsoft Entra ID che non sono state riflesse in Servizi di dominio Active Directory locali, per evitare la perdita di dati, è necessario pianificare come popolare Active Directory Domain Services con i valori aggiornati da Microsoft Entra ID, prima di sincronizzare gli oggetti con Microsoft Entra Connect.
Se hai abbinato i tuoi oggetti con una corrispondenza morbida, il sourceAnchor viene aggiunto all'oggetto in Microsoft Entra ID in modo che una corrispondenza esatta possa essere utilizzata in un secondo momento.
Importante
Microsoft sconsiglia vivamente di sincronizzare gli account locali con account amministrativi preesistenti in Microsoft Entra ID.
Corrispondenze difficili e corrispondenze flessibili
Per impostazione predefinita, il valore SourceAnchor di un oggetto, ad esempio "abcdefghijklmnopqrstuv==", è la rappresentazione di stringa Base64 dell'attributo mS-Ds-ConsistencyGUID (o ObjectGUID a seconda della configurazione) dall'oggetto Active Directory locale. In Microsoft Entra ID, questo valore è impostato come l'ImmutableId corrispondente.
Quando Microsoft Entra Connect o Cloud Sync aggiunge nuovi oggetti, il servizio Microsoft Entra ID tenta di trovare la corrispondenza con l'oggetto in ingresso usando il valore sourceAnchor corrispondente all'attributo ImmutableId di oggetti esistenti in Microsoft Entra ID. Se c'è una corrispondenza, Microsoft Entra Connect assume l'origine o l'autorità (SoA) di tale oggetto e la aggiorna con le proprietà dell'oggetto Active Directory locale in ingresso in quella che è nota come "corrispondenza rigida". Quando l'ID Microsoft Entra non riesce a trovare alcun oggetto con un ImmutableId che corrisponde al valore SourceAnchor, tenta di usare l'indirizzo userPrincipalName o SMTP primario dell'oggetto in ingresso per trovare una corrispondenza in quella che è nota come "corrispondenza soft".
Sia il "hard match" che il "soft match" tentano di associare gli oggetti già presenti e gestiti in Microsoft Entra ID con i nuovi oggetti in arrivo che rappresentano la stessa entità locale. Se Microsoft Entra ID non è in grado di trovare un hard-match o un soft-match per l'oggetto in ingresso, provvede al provisioning di un nuovo oggetto nella directory di Microsoft Entra ID.
Se Microsoft Entra ID è in grado di "soft-match" il nuovo oggetto in ingresso basato sull'indirizzo SMTP primario con un oggetto esistente gestito in Microsoft Entra ID, ma questo nuovo oggetto ha un valore sourceAnchor diverso, viene tentato il provisioning di un nuovo oggetto, che generalmente causa un conflitto per cui Microsoft Entra ID non riesce a creare il nuovo oggetto. Questo conflitto si verifica in situazioni come:
Un valore sourceAnchor diverso è stato impostato nell'attributo
mS-Ds-ConsistencyGuid, nell'utente AD locale originale che è già stato sincronizzato con Entra ID.Un nuovo utente AD locale è stato creato con lo stesso UPN e indirizzo SMTP primario, ma con un sourceAnchor e un SID diversi.
In questi casi, viene generato un errore di esportazione AttributeValueMustBeUnique in Microsoft Entra Connect o Cloud Sync. A seconda delle proprietà utente in ingresso, questo errore potrebbe fare riferimento a uno dei conflitti di attributi seguenti:
AttributeConflictName = OnPremiseSecurityIdentifier: il nuovo oggetto in arrivo ha un sourceAnchor diverso, ma lo stesso OnPremiseSecurityIdentifier (SID) e indirizzo SMTP primario dell'utente esistente nella directory di Entra ID.
AttributeConflictName = ProxyAddresses: il nuovo oggetto in ingresso ha un sourceAnchor e un SID diversi, ma ha lo stesso indirizzo SMTP primario dell'utente esistente nella directory Entra ID.
Nota
In alcune rare situazioni, si verifica un conflitto di OnPremiseSecurityIdentifier a causa di un problema con il pool di RID di ACTIVE Directory locale (ad esempio, un controller di dominio ripristinato dal backup), che può generare un nuovo utente con lo stesso SID. In questi casi, viene generato un errore AttributeValueMustBeUnique quando si tenta di effettuare il provisioning dell'utente, non a causa dei "tentativi di corrispondenza temporanea", ma perché il OnPremiseSecurityIdentifier deve essere univoco nella directory Entra ID.
Questi scenari indicano in genere che si sta provando a eseguire nuovamente il provisioning dello stesso utente. Per risolvere il conflitto, è necessario aggiornare l'attributo mS-Ds-ConsistencyGuid dell'utente locale in modo che corrisponda allo stesso valore di ImmutableID dell'utente cloud esistente. Questa modifica consente a Microsoft Entra ID di effettuare il corretto "hard-match".
Blocca il collegamento forzato in Microsoft Entra ID
È stata aggiunta un'opzione di configurazione per disabilitare la funzionalità di corrispondenza rigida in Microsoft Entra ID. È consigliabile che i clienti disabilitino la corrispondenza rigida, a meno che non ne abbiano bisogno per prendere in carico account esclusivamente cloud.
Per disabilitare la corrispondenza rigida, usare cmdlet Update-MgDirectoryOnPremiseSynchronization cmdlet di Microsoft Graph PowerShell:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$OnPremSync = Get-MgDirectoryOnPremiseSynchronization
$OnPremSync.Features.BlockCloudObjectTakeoverThroughHardMatchEnabled = $true
Update-MgDirectoryOnPremiseSynchronization `
-OnPremisesDirectorySynchronizationId $OnPremSync.Id `
-Features $OnPremSync.Features
Blocca il soft-match in Microsoft Entra ID
Analogamente, è stata aggiunta un'opzione di configurazione per disabilitare l'opzione di soft matching in Microsoft Entra ID. Si consiglia ai clienti di disabilitare la corrispondenza flessibile, a meno che non sia necessaria per prendere il controllo degli account esclusivamente cloud.
Per disabilitare la corrispondenza temporanea, usare cmdlet Update-MgDirectoryOnPremiseSynchronization cmdlet di Microsoft Graph PowerShell:
Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"
$OnPremSync = Get-MgDirectoryOnPremiseSynchronization
$OnPremSync.Features.BlockSoftMatchEnabled = $true
Update-MgDirectoryOnPremiseSynchronization `
-OnPremisesDirectorySynchronizationId $OnPremSync.Id `
-Features $OnPremSync.Features
Nota
BlockCloudObjectTakeoverThroughHardMatchEnabled e BlockSoftMatchEnabled vengono utilizzati per bloccare la corrispondenza di tutti gli oggetti, se abilitati nel tenant. I clienti sono invitati a disabilitare queste funzionalità solo durante il periodo in cui è necessaria una procedura di allineamento per il loro contratto di affitto. Questo flag deve essere di nuovo impostato su True dopo che qualsiasi corrispondenza è stata completata e non è più necessaria.
Altri oggetti rispetto agli utenti
Per i gruppi e i contatti abilitati alla posta elettronica, è possibile trovare una corrispondenza flessibile in base a proxyAddresses. La corrispondenza rigida non è applicabile perché è possibile aggiornare sourceAnchor/immutableID solo sugli utenti utilizzando PowerShell. Per i gruppi che non sono abilitati alla posta elettronica, non è attualmente disponibile alcun supporto per la corrispondenza temporanea o la corrispondenza rigida.
Considerazioni sui ruoli di amministratore
Per proteggere dagli utenti locali non attendibili, Microsoft Entra ID non assocerà gli utenti locali con gli utenti cloud che hanno un ruolo di amministratore. Questo comportamento è per impostazione predefinita. Per risolvere questo problema, è possibile eseguire la procedura seguente:
Rimuovere i ruoli della directory dall'oggetto utente utilizzabile solo nel cloud.
Eliminare definitivamente il nuovo oggetto messo in quarantena creato nel cloud.
Attivare un nuovo ciclo di sincronizzazione.
Facoltativamente, aggiungere nuovamente i ruoli della directory all'oggetto utente nel cloud al termine della corrispondenza.
Creare una nuova istanza di Active Directory locale dai dati in Microsoft Entra ID
Alcuni clienti iniziano con una soluzione solo cloud con Microsoft Entra ID e non hanno un AD locale. Successivamente desiderano utilizzare le risorse locali e creare un AD locale basato sui dati di Microsoft Entra. Microsoft Entra Connect non può essere utile per questo scenario. Non crea utenti in locale e non ha la possibilità di impostare la password in locale sullo stesso id di Microsoft Entra.
Se l'unico motivo per cui prevedi di aggiungere AD locale è supportare i LOB (app line-of-business), potresti considerare di usare Microsoft Entra Domain Services invece.
Passaggi successivi
Altre informazioni su L'integrazione delle identità locali con Microsoft Entra ID.