Sincronizzazione Microsoft Entra Connect: configurare la posizione dei dati preferita per le risorse di Microsoft 365

Questo argomento illustra in dettaglio come configurare l'attributo relativo al percorso dati preferito nel servizio di sincronizzazione di Microsoft Entra. Quando qualcuno usa Multi-Geo Capabilities in Microsoft 365, si usa questo attributo per definire la posizione geografica dei dati di Microsoft 365 dell'utente. I termini area e area geografica vengono usati in modo intercambiabile.

Località multi-geografiche supportate

Per un elenco di tutte le aree geografiche supportate da Microsoft Entra Connect, vedere Disponibilità di Microsoft 365 Multi-Geo

Abilitare la sincronizzazione del percorso dati preferito

Per impostazione predefinita, le risorse di Microsoft 365 per gli utenti si trovano nella stessa area geografica del tenant di Microsoft Entra. Ad esempio, se il Tenant si trova in America del Nord, anche le cassette postali di Exchange degli utenti si trovano in America del Nord. In un'organizzazione multinazionale questo aspetto può creare problemi.

Impostando l'attributo preferredDataLocation è possibile definire l'area geografica dell'utente. È possibile avere le risorse di Microsoft 365 dell'utente, ad esempio la cassetta postale e OneDrive, nella stessa area geografica dell'utente e continuare ad avere un tenant per l'intera organizzazione.

Importante

A partire dal 1° giugno 2023, Multi-Geo è disponibile per l'acquisto da parte dei partner CSP, almeno il 5% delle postazioni totali dell'abbonamento a Microsoft 365 del cliente.

Multi-Geo è disponibile anche per i clienti con un contratto Enterprise Agreement attivo. Per informazioni dettagliate, contattare il rappresentante Microsoft.

Per un elenco di tutte le aree geografiche supportate da Microsoft Entra Connect, vedere Disponibilità di Microsoft 365 Multi-Geo.

Supporto di Microsoft Entra Connect per la sincronizzazione

Microsoft Entra Connect supporta la sincronizzazione dell'attributo preferredDataLocation per gli oggetti Utente nella versione 1.1.524.0 e successive. In particolare:

• Lo schema del tipo di oggetto Utente in Microsoft Entra Connector è stato esteso per poter includere l'attributo preferredDataLocation. L'attributo è di tipo stringa a valore singolo.
• Lo schema del tipo di oggetto Persona nel metaverse è stato esteso per poter includere l'attributo preferredDataLocation. L'attributo è di tipo stringa a valore singolo.

Per impostazione predefinita, preferredDataLocation non è abilitato per la sincronizzazione. Questa funzionalità è destinata alle organizzazioni di grandi dimensioni. Lo schema di Active Directory in Windows Server 2019 ha un attributo msDS-preferredDataLocation da usare a questo scopo. Se lo schema di Active Directory non è stato aggiornato e non è possibile farlo, è necessario identificare un attributo per contenere l'area geografica di Microsoft 365 per gli utenti. Si tratta di un attributo diverso per ogni organizzazione.

Importante

Microsoft Entra ID consente di configurare direttamente l'attributo preferredDataLocation in oggetti utente cloud usando Microsoft Graph PowerShell. Per configurare questo attributo sugli oggetti Utente sincronizzati, è necessario usare Microsoft Entra Connect.

Prima di abilitare la sincronizzazione:

• Se lo schema di Active Directory non è stato aggiornato a 2019, decidere quale attributo di Active Directory locale usare come attributo di origine. Deve essere di tipo stringa a valore singolo.

• Se in precedenza è stato configurato l'attributo preferredDataLocation sugli oggetti User sincronizzati esistenti in Microsoft Entra ID usando Microsoft Graph PowerShell, è necessario eseguire il backporting dei valori dell'attributo agli oggetti utente corrispondenti in Active Directory locale.

  Importante

  Se non si esegue il backporting di questi valori, Microsoft Entra Connect rimuove i valori dell'attributo esistente in Microsoft Entra quando è abilitata la sincronizzazione per l'attributo preferredDataLocation.

• Configurare ora l'attributo di origine in almeno due oggetti Utente di Active Directory locale. Lo si potrà usare più avanti per la verifica.

Le sezioni seguenti illustrano la procedura per abilitare la sincronizzazione dell'attributo preferredDataLocation.

Nota

I passaggi sono descritti nel contesto di una distribuzione di Microsoft Entra con topologia a foresta singola e senza regole di sincronizzazione personalizzate. Se sono stati configurati una topologia a più foreste e regole di sincronizzazione personalizzate o si dispone di un server di gestione temporanea, modificare i passaggi di conseguenza.

Passaggio 1: Disabilitare l'utilità di pianificazione della sincronizzazione e verificare che non ci sia alcuna sincronizzazione in corso

Per evitare l'esportazione di modifiche accidentali in Microsoft Entra ID, verificare che non venga eseguita alcuna sincronizzazione durante l'aggiornamento delle regole di sincronizzazione. Per disabilitare l'utilità di pianificazione della sincronizzazione predefinita:

1. Avviare una sessione di PowerShell nel server Microsoft Entra Connect.
2. Disabilitare la sincronizzazione pianificata eseguendo questo cmdlet: Set-ADSyncScheduler -SyncCycleEnabled $false.
3. Avviare Synchronization Service Manager passando a START>Synchronization Service (Servizio di sincronizzazione).
4. Selezionare scheda Operazioni e verificare che per nessuna operazione lo stato sia In corso.

Passaggio 2: Aggiornare lo schema per Active Directory

Se lo schema di Active Directory è stato aggiornato a 2019 e Connect è stato installato prima dell'estensione dello schema, la cache dello schema Connect non ha lo schema aggiornato. È quindi necessario aggiornare lo schema dalla procedura guidata affinché venga visualizzato nell'interfaccia utente.

1. Avviare la procedura guidata Microsoft Entra Connect dal desktop.
2. Selezionare l'opzione Aggiorna schema directory e fare clic su Avanti.
3. Immettere le credenziali di Microsoft Entra e fare clic su Avanti.
4. Nella pagina Aggiorna schema directory verificare che tutte le foreste siano selezionate e fare clic su Avanti.
5. Al termine, chiudere la procedura guidata.

Passaggio 3: Aggiungere l'attributo di origine allo schema di Active Directory Connector locale

Questo passaggio è necessario solo se si esegue Connect versione 1.3.21 o precedente. Se si usa la versione 1.4.18 o successiva, passare al passaggio 5.
Non tutti gli attributi di Microsoft Entra vengono importati nello spazio Active Directory Connector locale. Se si è scelto di usare un attributo non sincronizzato per impostazione predefinita, è necessario importarlo. Per aggiungere l'attributo di origine all'elenco degli attributi importati:

1. Selezionare la scheda Connettori in Synchronization Service Manager.
2. Fare clic con il pulsante destro del mouse sull'istanza di Active Directory Connector locale e scegliere Proprietà.
3. Nella finestra di dialogo popup passare alla scheda Seleziona attributi.
4. Verificare che l'attributo di origine che si è scelto di usare sia selezionato nell'elenco degli attributi. Se l'attributo non viene visualizzato, selezionare la casella di controllo Mostra tutto.
5. Per salvare, selezionare OK.

Passaggio 4: Aggiungere preferredDataLocation allo schema di Microsoft Entra Connector

Questo passaggio è necessario solo se si esegue Connect versione 1.3.21 o precedente. Se si usa la versione 1.4.18 o successiva, passare al passaggio 5.
Per impostazione predefinita, l'attributo preferredDataLocation non viene importato nello spazio Microsoft Entra Connector. Per aggiungerlo all'elenco di attributi importati:

1. Selezionare la scheda Connettori in Synchronization Service Manager.
2. Fare clic con il pulsante destro del mouse sul connettore Microsoft Entra e selezionare Proprietà.
3. Nella finestra di dialogo popup passare alla scheda Seleziona attributi.
4. Selezionare l'attributo preferredDataLocation nell'elenco.
5. Per salvare, selezionare OK.

Passaggio 5: Creare una regola di sincronizzazione in ingresso

La regola di sincronizzazione in ingresso consente la trasmissione del valore dell'attributo dall'attributo di origine di Active Directory locale al metaverse.

1. Avviare Synchronization Rules Editor (Editor delle regole di sincronizzazione) passando a START>Synchronization Rules Editor (Editor delle regole di sincronizzazione).

2. Impostare il filtro di ricerca Direzione su In arrivo.

3. Per creare una nuova regola in entrata, fare clic sul pulsante Aggiungi nuova regola.

4. Nella scheda Descrizione, inserire la configurazione seguente:

   Attributo	valore	Details
   Nome	Specificare un nome	Ad esempio, "In entrata da AD - Utente PreferredDataLocation"
   Descrizione	Fornire una descrizione personalizzata
   Connected System	Selezionare l'istanza di Active Directory Connector locale
   Connected System Object Type	Utente
   Metaverse Object Type	Persona
   Tipo di collegamento	Join.
   Precedenza	Scegliere un numero compreso tra 1 e 99	I numeri compresi tra 1 e 99 sono riservati alle regole di sincronizzazione personalizzate. Non scegliere un valore usato da un'altra regola di sincronizzazione.

5. Lasciare vuoto il campo Scoping filter (Filtro di ambito) per includere tutti gli oggetti. Potrebbe essere necessario perfezionare il filtro di ambito in base alla distribuzione di Microsoft Entra Connect.

6. Passare alla scheda Trasformazione e implementare la regola di trasformazione seguente:

   Tipo di flusso	Attributo di destinazione	Origine	Applicare una sola volta	Tipi di unione
   Connessione diretta	preferredDataLocation	Selezionare l'attributo di origine	Non selezionato	Aggiornamento

7. Per creare la regola in entrata, selezionare Aggiungi.

Passaggio 6: Creare una regola di sincronizzazione in uscita

La regola di sincronizzazione in uscita consente la trasmissione del valore dell'attributo dal metaverse all'attributo preferredDataLocation in Microsoft Entra ID:

1. Passare all'editor delle regole di sincronizzazione.

2. Impostare il filtro di ricerca Direzione da In uscita.

3. Selezionare Aggiungi nuova regola.

4. Nella scheda Descrizione, inserire la configurazione seguente:

   Attributo	valore	Details
   Nome	Specificare un nome	Ad esempio, "Out to Microsoft Entra ID – User preferredDataLocation”
   Descrizione	Inserire una descrizione
   Connected System	Seleziona il connettore Microsoft Entra
   Connected System Object Type	Utente
   Metaverse Object Type	Persona
   Tipo di collegamento	Join.
   Precedenza	Scegliere un numero compreso tra 1 e 99	I numeri compresi tra 1 e 99 sono riservati alle regole di sincronizzazione personalizzate. Non scegliere un valore usato da un'altra regola di sincronizzazione.

5. Passare alla scheda Scoping filter (Filtro di ambito) e aggiungere un singolo gruppo di filtri di ambito con le due clausole:

   Attributo	Operatore	Valore
   sourceObjectType	EQUAL	User
   cloudMastered	NOTEQUAL	Vero

   Il filtro di ambito determina a quali oggetti di Microsoft Entra viene applicata la regola di sincronizzazione in uscita. In questo esempio, viene usato lo stesso filtro di ambito della regola di sincronizzazione predefinita" Out to Microsoft Entra ID – User Identity". Impedisce l'applicazione della regola di sincronizzazione agli oggetti Utente non sincronizzati da Active Directory locale. Potrebbe essere necessario perfezionare il filtro di ambito in base alla distribuzione di Microsoft Entra Connect.

6. Passare alla scheda Trasformazione e implementare la regola di trasformazione seguente:

   Tipo di flusso	Attributo di destinazione	Origine	Applicare una sola volta	Tipi di unione
   Connessione diretta	preferredDataLocation	preferredDataLocation	Non selezionato	Aggiornamento

7. Fare clic su Aggiungi per creare la regola in uscita.

Passaggio 7: Eseguire un ciclo di sincronizzazione completo

In generale, un ciclo di sincronizzazione completo è necessario. Il motivo è che sono stati aggiunti nuovi attributi per gli schemi di Active Directory e Microsoft Entra Connector e sono state introdotte regole di sincronizzazione personalizzate. Controllare le modifiche prima di esportarle in Microsoft Entra ID. È possibile usare la procedura seguente per controllare le modifiche, eseguendo al contempo manualmente i passaggi che compongono il ciclo di sincronizzazione completo.

1. Eseguire un'importazione completa nell'istanza di Active Directory Connector locale:

   1. Passare alla scheda Connettori in Synchronization Service Manager.

   2. Fare clic con il pulsante destro del mouse sull'istanza di Active Directory Connector locale e scegliere Esegui.

   3. Nella finestra di dialogo selezionare Importazione completa e fare clic su OK.

   4. Attendere il completamento dell'operazione.

      Nota

      È possibile ignorare l'importazione completa in Active Directory Connector locale se l'attributo di origine è già incluso nell'elenco degli attributi importati. In altre parole, non è necessario apportare modifiche durante il passaggio 2 in precedenza in questo articolo.

2. Eseguire un’importazione completa nel Connettore Microsoft Entra:

   1. Fare clic con il pulsante destro del mouse sull'istanza di Microsoft Entra Connector e selezionare Esegui.
   2. Nella finestra di dialogo selezionare Importazione completa e fare clic su OK.
   3. Attendere il completamento dell'operazione.

3. Controllare le modifiche alle regole di sincronizzazione in un oggetto Utente esistente.

   L'attributo di origine di Active Directory locale e preferredDataLocation di Microsoft Entra ID sono stati importati nel rispettivo spazio connettore. Prima di procedere con il passaggio di sincronizzazione completa, è consigliabile eseguire un'operazione di anteprima su un oggetto Utente esistente nello spazio Active Directory Connector locale. L'attributo di origine dell'oggetto selezionato deve essere popolato. Un'anteprima corretta che mostra preferredDataLocation popolato nel metaverse indica che le regole di sincronizzazione sono state configurate correttamente. Per informazioni sull'esecuzione dell'anteprima, vedere Verificare la modifica.

4. Eseguire una sincronizzazione completa nell'istanza di Active Directory Connector locale:

   1. Fare clic con il pulsante destro del mouse sull'istanza di Active Directory Connector locale e scegliere Esegui.
   2. Nella finestra di dialogo selezionare Sincronizzazione completa e fare clic su OK.
   3. Attendere il completamento dell'operazione.

5. Verificare le esportazioni in sospeso in Microsoft Entra ID:

   1. Fare clic con il pulsante destro del mouse sul Connettore Microsoft Entra e selezionare Cerca spazio connettore.

   2. Nella finestra di dialogo Search Connector Space (Cerca spazio connettore:

      a. Impostare Ambito su Pending Export (Esportazione in sospeso).
      b. Selezionare tutte e tre le caselle di controllo, tra cui Aggiungi, Modifica ed Elimina.
      c. Selezionare Ricerca per ottenere l'elenco degli oggetti con le modifiche da esportare. Per esaminare le modifiche per un determinato oggetto, fare doppio clic sull'oggetto.
      d. Verificare le modifiche previste.

6. Eseguire Esporta nel Connettore Microsoft Entra

   1. Fare clic con il pulsante destro del mouse sull'istanza di Microsoft Entra Connector e selezionare Esegui.
   2. Nella finestra di dialogo Run Connector (Esegui connettore) selezionare Esporta e fare clic su OK.
   3. Attendere il completamento dell'operazione.

Nota

Come si può notare, la procedura non include il passaggio di sincronizzazione completa in Microsoft Entra Connector e quello di esportazione in Active Directory Connector. Questi passaggi non sono necessari perché i valori degli attributi si trasmettono solo da Active Directory locale a Microsoft Entra.

Passaggio 8: Riattivare l'utilità di pianificazione della sincronizzazione

Riabilitare l'utilità di pianificazione della sincronizzazione predefinita:

1. Avviare una sessione di PowerShell.
2. Riabilitare la sincronizzazione pianificata eseguendo questo cmdlet: Set-ADSyncScheduler -SyncCycleEnabled $true

Passaggio 9: Verificare il risultato

A questo punto è necessario verificare la configurazione e abilitarla per gli utenti.

1. Aggiungere l'area all'attributo selezionato per un utente. L'elenco di aree geografiche disponibili è indicato in questa tabella.
   
2. Attendere che l'attributo venga sincronizzato con Microsoft Entra ID.
3. Usare il servizio PowerShell di Exchange Online per verificare che l'area della cassetta postale sia stata impostata correttamente.
   
   Supponendo che il tenant sia stato contrassegnato come in grado di usare questa funzionalità, la cassetta postale viene spostata nell'area geografica corretta. Per verificare che ciò avvenga, esaminare il nome del server in cui si trova la cassetta postale.

Passaggi successivi

Altre informazioni su Multi-Geo Capabilities in Microsoft 365:

• Sessioni su Multi-Geo Capabilities in Ignite
• Multi-Geo Capabilities in OneDrive
• Multi-Geo Capabilities in SharePoint Online

Altre informazioni sul modello di configurazione nel motore di sincronizzazione:

• Per altre informazioni sul modello di configurazione, vedere Servizio di sincronizzazione Azure AD Connect: Informazioni sul provisioning dichiarativo.
• Per altre informazioni sul linguaggio delle espressioni, vedere Servizio di sincronizzazione Azure AD Connect: Informazioni sulle espressioni di provisioning dichiarativo.

Argomenti generali:

• Servizio di sincronizzazione di Microsoft Entra Connect: Comprendere e personalizzare la sincronizzazione
• Integrazione delle identità locali con Microsoft Entra ID