Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Lo scopo di questo documento è descrivere le aree da considerare durante la configurazione di Microsoft Entra Connect. Si tratta di un'analisi approfondita di determinate aree e questi concetti vengono illustrati brevemente anche in altri documenti.
sourceAnchor
L'attributo sourceAnchor viene definito come un attributo immutabile durante il ciclo di vita di un oggetto. Identifica in modo univoco un oggetto come lo stesso oggetto in locale e in Microsoft Entra ID. L'attributo è detto anche immutableId e i due nomi vengono usati in modo intercambiabile.
La parola non modificabile, ovvero "non può essere modificata", è importante per questo documento. Poiché il valore di questo attributo non può essere modificato dopo che è stato impostato, è importante selezionare una progettazione che supporti lo scenario.
L'attributo viene usato per gli scenari seguenti:
- Quando viene compilato o ricompilato un nuovo server del motore di sincronizzazione dopo uno scenario di ripristino di emergenza, questo attributo collega gli oggetti esistenti in Microsoft Entra ID con oggetti locali.
- Se si passa da un'identità solo cloud a un modello di identità sincronizzato, tale attributo consente agli oggetti di "trovare la perfetta corrispondenza" tra gli oggetti esistenti in Microsoft Entra ID e oggetti locali.
- Se si usa la federazione, questo attributo viene usato insieme a userPrincipalName nell'attestazione per identificare in modo univoco un utente.
Questo argomento esamina sourceAnchor solo relativamente agli utenti. Le stesse regole si applicano a tutti i tipi di oggetto, ma solo per gli utenti questo problema è in genere un problema.
Selezione di un attributo sourceAnchor valido
Il valore dell'attributo deve rispettare le regole seguenti:
- Lunghezza inferiore a 60 caratteri
- I caratteri diversi da a-z, A-Z o 0-9 vengono codificati e conteggiati come 3 caratteri
- Non deve contenere un carattere speciale: \ ! # $ % & * + / = ? ^ ` { } | ~ <> ( ) ' ; : , [ ] " @ _
- Deve essere univoco a livello globale
- Deve essere una stringa, un valore intero o un numero binario
- Non deve essere basato sul nome dell'utente perché possono cambiare
- Non deve fare distinzione tra maiuscole e minuscole né contenere valori che possono variare secondo il caso.
- Deve essere assegnato quando viene creato l'oggetto
Se sourceAnchor selezionato non è di tipo stringa, Microsoft Entra Connect Base64Encode il valore dell'attributo per assicurarsi che non vengano visualizzati caratteri speciali. Se si utilizza un server di federazione diverso da ADFS, assicurarsi che il server possa anche codificare in Base64 l'attributo.
L'attributo sourceAnchor è sensibile alle maiuscole. Il valore "JohnDoe" non è uguale a "johndoe". Ma non dovresti avere due oggetti diversi con solo una differenza nel caso.
Se è presente una singola foresta locale, l'attributo da usare è objectGUID. Questo è anche l'attributo usato quando si usano le impostazioni rapide in Microsoft Entra Connect e anche l'attributo usato da DirSync.
Se sono presenti più foreste e non si spostano utenti tra foreste e domini, objectGUID è un buon attributo da usare anche in questo caso.
Se si spostano utenti tra foreste e domini, è necessario trovare un attributo che non cambia o può essere spostato con gli utenti durante lo spostamento. Un approccio consigliato consiste nell'introdurre un attributo sintetico. Un attributo che potrebbe contenere qualcosa di simile a un GUID sarebbe adatto. Un nuovo GUID viene creato e assegnato all'utente durante la creazione di un oggetto. È possibile creare una regola di sincronizzazione personalizzata nel server del motore di sincronizzazione per creare questo valore in base all'oggettoGUID e aggiornare l'attributo selezionato in Servizi di dominio Active Directory. Quando si sposta l'oggetto, assicurarsi di copiare anche il contenuto di questo valore.
Un'altra soluzione consiste nello scegliere un attributo esistente che si sa che non cambierà. Uno degli attributi più comunemente usati è employeeID. Se si considera un attributo che contiene lettere, assicurarsi che non vi sia alcuna probabilità che il caso (maiuscolo o minuscolo) possa cambiare per il valore dell'attributo. Gli attributi non validi che non devono essere usati includono quelli con il nome dell'utente. In un matrimonio o divorzio, è previsto che il nome cambi, cosa che non è permessa per questo attributo. Questo è anche un motivo per cui gli attributi come userPrincipalName, mail e targetAddress non sono nemmeno possibile selezionare nell'installazione guidata di Microsoft Entra Connect. Questi attributi contengono anche il carattere "@", che non è consentito in sourceAnchor.
Modifica dell'attributo sourceAnchor
Il valore dell'attributo sourceAnchor non può essere modificato dopo la creazione dell'oggetto nell'ID Microsoft Entra e l'identità viene sincronizzata.
Per questo motivo, le restrizioni seguenti si applicano a Microsoft Entra Connect:
- L'attributo sourceAnchor può essere configurato solo durante l'installazione iniziale. Se si esegue di nuovo l'installazione guidata, questa opzione sarà di sola lettura. Per modificare questa impostazione, è necessario eseguire la disinstallazione e la reinstallazione.
- Se si installa un altro server Microsoft Entra Connect, è necessario selezionare lo stesso attributo sourceAnchor usato in precedenza. Se in precedenza si usa DirSync e si passa a Microsoft Entra Connect, è necessario usare objectGUID poiché questo è l'attributo usato da DirSync.
- Se il valore di sourceAnchor viene modificato dopo l'esportazione dell'oggetto nell'ID Microsoft Entra, Microsoft Entra Connect Sync genera un errore e non consente altre modifiche sull'oggetto prima che il problema venga risolto e sourceAnchor viene nuovamente modificato nella directory di origine.
Uso di ms-DS-ConsistencyGuid come ancoraggio sorgente
Per impostazione predefinita, Microsoft Entra Connect (versione 1.1.486.0 e versioni precedenti) usa objectGUID come attributo sourceAnchor. ObjectGUID è generato dal sistema. Non è possibile specificarne il valore durante la creazione di oggetti AD locali. Come illustrato nella sezione sourceAnchor, in alcuni scenari è necessario specificare il valore di sourceAnchor. Se gli scenari sono applicabili all'utente, è necessario usare un attributo AD configurabile, ad esempio ms-DS-ConsistencyGuid, come attributo sourceAnchor.
Microsoft Entra Connect (versione 1.1.524.0 e successive) ora facilita l'uso dell'attributo ms-DS-ConsistencyGuid come attributo sourceAnchor. Quando si usa questa funzionalità, Microsoft Entra Connect configura automaticamente le regole di sincronizzazione per:
Usare ms-DS-ConsistencyGuid come attributo sourceAnchor per gli oggetti User. ObjectGUID è usato per altri tipi di oggetto.
Per qualsiasi oggetto utente di Active Directory locale il cui attributo ms-DS-ConsistencyGuid non è popolato, Microsoft Entra Connect scrive il valore objectGUID nell'attributo ms-DS-ConsistencyGuid in Active Directory locale. Dopo aver popolato l'attributo ms-DS-ConsistencyGuid, Microsoft Entra Connect esporta quindi l'oggetto in Microsoft Entra ID.
Nota
Dopo l'importazione di un oggetto AD locale in Microsoft Entra Connect (ovvero importato nello spazio connettore di AD e proiettato nel Metaverse), non è più possibile modificare il valore sourceAnchor. Per specificare il valore sourceAnchor per un determinato oggetto AD locale, configurare il relativo attributo ms-DS-ConsistencyGuid prima dell'importazione in Microsoft Entra Connect.
È necessaria l'autorizzazione
Per questa funzionalità, l'account Active Directory Domain Services usato per la sincronizzazione con Active Directory locale deve disporre dell'autorizzazione di scrittura per l'attributo ms-DS-ConsistencyGuid in Active Directory locale.
Come abilitare la funzionalità ConsistencyGuid: nuova installazione
È possibile abilitare l'uso di ConsistencyGuid come sourceAnchor durante una nuova installazione. Questa sezione descrive dettagliatamente sia l'installazione rapida che quella personalizzata.
Nota
Solo le versioni più recenti di Microsoft Entra Connect (1.1.524.0 e successive) supportano l'uso di ConsistencyGuid come sourceAnchor durante la nuova installazione.
Come abilitare la funzionalità ConsistencyGuid
Installazione rapida
Quando si installa Microsoft Entra Connect con la modalità Express, la procedura guidata di Microsoft Entra Connect determina automaticamente l'attributo AD più appropriato da usare come attributo sourceAnchor usando la logica seguente:
Prima di tutto, la procedura guidata di Microsoft Entra Connect esegue una query sul tenant di Microsoft Entra per recuperare l'attributo AD usato come attributo sourceAnchor nell'installazione precedente di Microsoft Entra Connect (se presente). Se queste informazioni sono disponibili, Microsoft Entra Connect usa lo stesso attributo di AD.
Nota
Solo le versioni più recenti di Microsoft Entra Connect (1.1.524.0 e successive) archiviano informazioni nel tenant di Microsoft Entra sull'attributo sourceAnchor usato durante l'installazione. Le versioni precedenti di Microsoft Entra Connect non sono disponibili.
Se le informazioni sull'attributo sourceAnchor utilizzato non sono disponibili, la procedura guidata controlla lo stato dell'attributo ms-DS-ConsistencyGuid nella tua Active Directory locale. Se l'attributo non è configurato in un qualsiasi oggetto nella directory, la procedura usa l'attributo ms-DS-ConsistencyGuid come attributo sourceAnchor. Se l'attributo è configurato su uno o più oggetti nella directory, la procedura guidata conclude che l'attributo viene usato da altre applicazioni e non è adatto come attributo sourceAnchor...
In questo caso, la procedura guidata ricorre all'uso di objectGUID come attributo sourceAnchor.
Dopo aver deciso l'attributo sourceAnchor, la procedura guidata archivia le informazioni nel tuo tenant di Microsoft Entra. Le informazioni vengono usate da un'installazione futura di Microsoft Entra Connect.
Al termine dell'installazione rapida, la procedura guidata ti informa su quale attributo è stato selezionato come attributo di ancoraggio di origine.
Installazione personalizzata
Quando si installa Microsoft Entra Connect con modalità personalizzata, la procedura guidata Microsoft Entra Connect offre due opzioni durante la configurazione dell'attributo sourceAnchor:
| Impostazione | Descrizione |
|---|---|
| Consenti a Microsoft Entra ID di gestire l'ancoraggio di origine per me | Selezionare questa opzione se si desidera che Microsoft Entra ID selezioni automaticamente l'attributo. Se si seleziona questa opzione, la procedura guidata di Microsoft Entra Connect applica la stessa logica di selezione dell'attributo sourceAnchor usata durante l'installazione rapida. Analogamente all'installazione rapida, la procedura guidata informa l'utente quale attributo viene scelto come attributo di ancoraggio di origine al termine dell'installazione personalizzata. |
| Attributo specifico | Selezionare questa opzione se si vuole specificare un attributo di AD esistente come attributo sourceAnchor. |
Come abilitare la funzionalità ConsistencyGuid: distribuzione esistente
Se si dispone di una distribuzione di Microsoft Entra Connect esistente che usa objectGUID come attributo di ancoraggio di origine, è possibile passare all'uso di ConsistencyGuid.
Nota
Solo le versioni più recenti di Microsoft Entra Connect (1.1.552.0 e successive) supportano il passaggio da ObjectGuid a ConsistencyGuid come attributo di ancoraggio di origine.
Per passare da objectGUID a ConsistencyGuid come attributo dell'ancoraggio di origine:
Avvia la procedura guidata di Microsoft Entra Connect e seleziona Configura per passare alla schermata Attività.
Selezionare l'opzione dell'attività Configura ancoraggio origine e selezionare Avanti.
Immettere le credenziali di amministratore di Microsoft Entra e selezionare Avanti.
La procedura guidata Microsoft Entra Connect analizza lo stato dell'attributo ms-DS-ConsistencyGuid nella Active Directory locale. Se l'attributo non è configurato in alcun oggetto nella directory, Microsoft Entra Connect conclude che nessun'altra applicazione usa attualmente l'attributo ed è sicuro usarlo come attributo di ancoraggio di origine. Selezionare Avanti per continuare.
Nella schermata Pronto per configurare selezionare Configura per apportare la modifica della configurazione.
Una volta completata la configurazione, la procedura guidata indica che ora viene usato ms-DS-ConsistencyGuid come attributo sourceAnchor.
Durante l'analisi (passaggio 4), se l'attributo è configurato su uno o più oggetti nella directory, la procedura guidata conclude che l'attributo viene usato da un'altra applicazione e restituisce un errore come illustrato nel diagramma seguente. Questo errore può verificarsi anche se è stata abilitata la funzionalità ConsistencyGuid nel server Microsoft Entra Connect primario e si sta provando a eseguire la stessa operazione nel server di staging.
Se si è certi che l'attributo non viene usato da altre applicazioni esistenti, è possibile eliminare l'errore riavviando la procedura guidata di Microsoft Entra Connect con l'opzione /SkipLdapSearch specificata. A tale scopo, al prompt dei comandi eseguire questo comando:
"c:\Program Files\Microsoft Azure Active Directory Connect\AzureADConnect.exe" /SkipLdapSearch
Impatto su AD FS o configurazione della federazione di terze parti
Se si usa Microsoft Entra Connect per gestire la distribuzione di AD FS locale, Microsoft Entra Connect aggiorna automaticamente le regole delle attestazioni per usare lo stesso attributo AD come sourceAnchor. Ciò garantisce che l'attestazione ImmutableID generata da ADFS sia coerente con i valori sourceAnchor esportati nell'ID Microsoft Entra.
Se si gestisce AD FS all'esterno di Microsoft Entra Connect o si usano server federativi di terze parti per l'autenticazione, è necessario aggiornare manualmente le regole attestazioni per l'attestazione ImmutableID in modo che siano coerenti con i valori sourceAnchor esportati in Microsoft Entra ID come descritto nell'articolo Modificare le regole attestazioni di AD FS. Al termine dell'installazione, viene visualizzato l'avviso seguente:
Aggiunta di nuove directory all'implementazione esistente
Si supponga di aver distribuito Microsoft Entra Connect con la funzionalità ConsistencyGuid abilitata e ora si vuole aggiungere un'altra directory alla distribuzione. Quando si tenta di aggiungere la directory, la procedura guidata di Microsoft Entra Connect controlla lo stato dell'attributo ms-DS-ConsistencyGuid nella directory. Se l'attributo è configurato su uno o più oggetti nella directory, la procedura conclude che l'attributo è usato da altre applicazioni e restituisce un errore, come mostrato di seguito. Se si è certi che l'attributo non viene usato dalle applicazioni esistenti, è possibile eliminare l'errore riavviando la procedura guidata di Microsoft Entra Connect con l'opzione /SkipLdapSearch specificata come descritto in precedenza o è necessario contattare il supporto tecnico per ulteriori informazioni.
Accesso a Microsoft Entra
Durante l'integrazione della directory locale con Microsoft Entra ID, è importante comprendere in che modo le impostazioni di sincronizzazione possono influire sul modo in cui l'utente esegue l'autenticazione. Microsoft Entra ID usa userPrincipalName (UPN) per autenticare l'utente. Quando si sincronizzano gli utenti è tuttavia necessario scegliere con attenzione l'attributo da usare per userPrincipalName.
Scegliere l'attributo per userPrincipalName
Quando si seleziona l'attributo per fornire il valore di UPN da usare in Microsoft Entra ID, assicurarsi che
- I valori degli attributi sono conformi alla sintassi UPN (RFC 822), che deve essere nel formato di username@domain
- Il suffisso nei valori corrisponde a uno dei domini personalizzati verificati in Microsoft Entra ID
Nelle impostazioni rapide come attributo deve essere scelto userPrincipalName. Se l'attributo userPrincipalName non contiene il valore con cui si desidera che gli utenti accedano a Microsoft Entra ID, è necessario scegliere Installazione personalizzata.
Nota
È consigliato come best practice che il prefisso UPN contenga più di un carattere.
Stato del dominio personalizzato e UPN
È importante assicurarsi che sia presente un dominio verificato per il suffisso UPN.
John è un utente di contoso.com. Si vuole che John usi l'UPN john@contoso.com locale per accedere all'ID Microsoft Entra dopo aver sincronizzato gli utenti con la directory di Microsoft Entra contoso.onmicrosoft.com. A tale scopo, è necessario aggiungere e verificare contoso.com come dominio personalizzato in Microsoft Entra ID prima di iniziare a sincronizzare gli utenti. Se il suffisso UPN di John, ad esempio contoso.com, non corrisponde a un dominio verificato in Microsoft Entra ID, Microsoft Entra ID sostituisce il suffisso UPN con contoso.onmicrosoft.com.
Domini locali non indirizzabili e UPN per Microsoft Entra ID
Alcune organizzazioni hanno domini non indirizzabili, ad esempio contoso.local, o domini con etichetta singola semplici come contoso. Non è possibile verificare un dominio non indirizzabile in Microsoft Entra ID. Microsoft Entra Connect può eseguire la sincronizzazione solo con un dominio verificato in Microsoft Entra ID. Quando si crea una directory Microsoft Entra, viene creato un dominio instradabile che diventa dominio predefinito per Microsoft Entra ID, ad esempio contoso.onmicrosoft.com. Si rende quindi necessario verificare eventuali altri domini instradabili nello stesso scenario, nel caso in cui non si voglia eseguire la sincronizzazione con il dominio .onmicrosoft.com predefinito.
Per altre informazioni sull'aggiunta e la verifica dei domini, vedere Aggiungere il nome di dominio personalizzato all'ID Microsoft Entra.
Microsoft Entra Connect rileva se sei in esecuzione in un ambiente di dominio non indirizzabile e ti avverte in modo appropriato di non procedere con le impostazioni espresse. Se si usa un dominio non indirizzabile, è probabile che anche l'UPN, degli utenti, abbia suffissi non indirizzabili. Ad esempio, se si è in esecuzione sotto contoso.local, Microsoft Entra Connect suggerisce impostazioni personalizzate anziché usare le impostazioni predefinite. Usando le impostazioni personalizzate, è possibile specificare l'attributo che deve essere usato come UPN per accedere a Microsoft Entra ID dopo che gli utenti sono sincronizzati con Microsoft Entra ID.
Passaggi successivi
Altre informazioni sull'integrazione di identità locali con Microsoft Entra ID.