Microsoft Entra Connessione: archivio della cronologia delle versioni
Il team di Microsoft Entra aggiorna regolarmente microsoft Entra Connessione con nuove funzionalità e funzionalità. Le nuove funzionalità potrebbero non essere disponibili in tutti i paesi.
Nota
Questo articolo contiene informazioni di riferimento sulla versione su tutte le versioni archiviate di Microsoft Entra ID - 1.5.42.0 e versioni precedenti. Per le versioni correnti, vedere la cronologia delle versioni di Microsoft Entra Connessione.
1.5.42.0
Stato rilascio
10/07/2020: Rilasciato per il download
Modifiche funzionali
Include un'anteprima pubblica della funzionalità per esportare la configurazione di un server Microsoft Entra Connessione esistente in un oggetto . File JSON. Questo file può essere utilizzato durante l'installazione di un nuovo server microsoft Entra Connessione per creare una copia del server originale.
Una descrizione dettagliata di questa nuova funzionalità è disponibile in questo articolo
Problemi risolti
- È stato risolto un bug in cui si verificava un falso avviso relativo alle dimensioni del database locale nelle build localizzate durante l'aggiornamento.
- Correzione di un bug in cui si verificava un errore falso negli eventi dell'app per lo scambio di nomi account/nome di dominio.
- È stato risolto un errore per cui Microsoft Entra Connessione non sarebbe stato installato in un controller di dominio, restituendo l'errore "membro non trovato".
1.5.30.0
Stato rilascio
07/05/2020: rilasciato per il download
Problemi risolti
Questa versione di aggiornamento rapido risolve un problema per cui i domini non selezionati venivano selezionati erroneamente dall'interfaccia utente della procedura guidata se erano stati selezionati solo i contenitori nipote.
Nota
Questa versione include la nuova API endpoint Di sincronizzazione V2 di Microsoft Entra Connessione. Questo nuovo endpoint V2 è attualmente disponibile in anteprima pubblica. Questa versione o una versione successiva richiede la nuova API endpoint V2. Tuttavia, l'installazione di questa versione non abilita l'endpoint V2. Si continuerà a usare l'endpoint V1 a meno che non si abiliti l'endpoint V2. Per abilitarla e acconsentire esplicitamente all'anteprima pubblica, è necessario seguire la procedura descritta in Microsoft Entra Connessione API endpoint V2 (anteprima pubblica).
1.5.29.0
Stato rilascio
23/04/2020: Rilasciato per il download
Problemi risolti
Questa compilazione di hotfix risolve un problema introdotto nella build 1.5.20.0 in cui un amministratore tenant con MFA non è riuscito ad abilitare DSSO.
1.5.22.0
Stato rilascio
20/04/2020: rilasciato per il download
Problemi risolti
Questa compilazione di hotfix risolve un problema nella build 1.5.20.0 se è stata clonata la regola In from AD - Group Join e non è stata clonata la regola In da AD - Group Common .
1.5.20.0
Stato rilascio
09/04/2020: rilasciato per il download
Problemi risolti
- Questa versione di aggiornamento rapido risolve un problema relativo alla versione 1.5.18.0 se è abilitata la funzionalità di filtri di gruppo e si usa mS-DS-ConsistencyGuid come ancoraggio di origine.
- Un problema nel modulo PowerShell ADSyncConfig, in cui richiamare il comando DSACLS usato in tutti i cmdlet Set-ADSync* Permissions provocherebbe uno degli errori seguenti:
GrantAclsNoInheritance : The parameter is incorrect. The command failed to complete successfully.
GrantAcls : No GUID Found for computer …
Importante
Se è stata clonata la regola di sincronizzazione In from AD - Group Join e non è stata clonata la regola di sincronizzazione In from AD - Group Common sync e si prevede di eseguire l'aggiornamento, completare i passaggi seguenti come parte dell'aggiornamento:
- Durante l'aggiornamento deselezionare l'opzione Avvia il processo di sincronizzazione al termine della configurazione.
- Modificare la regola di sincronizzazione del join clonato e aggiungere le due trasformazioni seguenti:
- Impostare il flusso diretto
objectGUID
susourceAnchorBinary
. - Impostare il flusso di espressione
ConvertToBase64([objectGUID])
susourceAnchor
.
- Abilitare l'utilità di pianificazione usando
Set-ADSyncScheduler -SyncCycleEnabled $true
.
1.5.18.0
Stato rilascio
02/04/2020: rilasciato per il download
Modifiche funzionali ADSyncAutoUpgrade
- Aggiunta del supporto per la funzionalità mS-DS-ConsistencyGuid per gli oggetti di gruppo. Consente di spostare gruppi tra foreste o riconnettere i gruppi in AD all'ID di Microsoft Entra in cui è stato modificato l'OBJECTID del gruppo DI ACTIVE. Per altre informazioni, vedere Spostamento di gruppi tra foreste.
- L'attributo mS-DS-ConsistencyGuid viene impostato automaticamente in tutti i gruppi sincronizzati e non è necessario eseguire alcuna operazione per abilitare questa funzionalità.
- Rimosso get-ADSyncRunProfile perché non è più in uso.
- È stato modificato l'avviso visualizzato quando si tenta di usare un account amministratore Enterprise o di dominio per l'account del connettore di Active Directory Domain Services per fornire un contesto maggiore.
- È stato aggiunto un nuovo cmdlet per rimuovere gli oggetti dallo spazio connettore che lo strumento di CSDelete.exe precedente viene rimosso e viene sostituito con il nuovo cmdlet Remove-ADSyncCSObject. Il cmdlet Remove-ADSyncCSObject accetta CsObject come input. Questo oggetto può essere recuperato tramite il cmdlet Get-ADSyncCSObject.
Nota
Lo strumento CSDelete.exe precedente è stato rimosso e sostituito con il nuovo cmdlet Remove-ADSyncCSObject
Problemi risolti
- Correzione di un bug nel selettore di foresta/unità organizzativa writeback del gruppo durante la ripetizione della procedura guidata di Microsoft Entra Connessione dopo la disabilitazione della funzionalità.
- È stata introdotta una nuova pagina di errore che viene visualizzata se mancano i valori del registro DCOM necessari con un nuovo collegamento alla guida. Le informazioni sono scritte anche nei file di log.
- È stato risolto un problema relativo alla creazione dell'account di sincronizzazione di Microsoft Entra in cui l'abilitazione delle estensioni directory o PHS potrebbe non riuscire perché l'account non è stato propagato in tutte le repliche del servizio prima del tentativo di utilizzo.
- Correzione di un bug nell'utilità di compressione degli errori di sincronizzazione che non gestisce correttamente i caratteri surrogati.
- Correzione di un bug nell'aggiornamento automatico che ha lasciato il server nello stato sospeso dell'utilità di pianificazione.
1.4.38.0
Stato rilascio
12/9/2019: versione per il download. Non disponibile tramite aggiornamento automatico.
Miglioramenti e nuove funzionalità
- È stata aggiornata la sincronizzazione dell'hash delle password per Microsoft Entra Domain Services per tenere conto correttamente della spaziatura interna negli hash Kerberos. Offre un miglioramento delle prestazioni durante la sincronizzazione delle password da Microsoft Entra ID a Microsoft Entra Domain Services.
- È stato aggiunto il supporto per le sessioni affidabili tra l'agente di autenticazione e il bus di servizio.
- È stata aggiunta una cache DNS per le connessioni WebSocket tra l'agente di autenticazione e i servizi cloud.
- È stata aggiunta la possibilità di indirizzare un agente specifico dal cloud per testare la connettività degli agenti.
Problemi risolti
- La versione 1.4.18.0 presentava un bug in cui il cmdlet di PowerShell per DSSO usava le credenziali di accesso di Windows anziché le credenziali di amministratore fornite durante l'esecuzione di PowerShell. Di conseguenza, non è stato possibile abilitare DSSO in più foreste tramite l'interfaccia utente di Microsoft Entra Connessione.
- È stata apportata una correzione per abilitare l'accesso DSSO contemporaneamente in tutta la foresta tramite l'interfaccia utente di Microsoft Entra Connessione
1.4.32.0
Stato rilascio
11/08/2019: rilasciato per il download. Non disponibile tramite aggiornamento automatico.
Importante
A causa di una modifica interna dello schema in questa versione di Microsoft Entra Connessione, se si gestiscono le impostazioni di configurazione delle relazioni di trust di AD FS usando Microsoft Graph PowerShell, è necessario aggiornare il modulo di Microsoft Graph PowerShell alla versione 1.1.183.57 o successiva.
Problemi risolti
Questa versione risolve un problema con i dispositivi aggiunti a Microsoft Entra ibrido esistenti. Questa versione contiene una nuova regola di sincronizzazione del dispositivo che corregge questo problema. Questa modifica della regola può causare l'eliminazione di dispositivi obsoleti da Microsoft Entra ID. Questi oggetti dispositivo non vengono usati da Microsoft Entra ID durante l'autorizzazione di accesso condizionale. Per alcuni clienti, il numero di dispositivi che verranno eliminati tramite questa modifica della regola può superare la soglia di eliminazione. Se viene visualizzata l'eliminazione di oggetti dispositivo in Microsoft Entra che supera la soglia di eliminazione dell'esportazione, vedere Come consentire il flusso delle eliminazioni quando superano la soglia di eliminazione
1.4.25.0
Stato rilascio
28/9/2019: rilasciato per l'aggiornamento automatico per selezionare i tenant. Non disponibile per il download.
Questa versione corregge un bug in cui alcuni server aggiornati automaticamente da una versione precedente alla versione 1.4.18.0 hanno riscontrato problemi con la reimpostazione della password self-service (SSPR) e il writeback delle password.
Problemi risolti
In determinate circostanze, i server aggiornati automaticamente alla versione 1.4.18.0 non riabilitavano la reimpostazione della password self-service e il writeback delle password dopo il completamento dell'aggiornamento. Questa versione di aggiornamento automatico corregge il problema e riattiva la reimpostazione della password self-service e il writeback delle password.
È stato risolto un bug nell'utilità di compressione degli errori di sincronizzazione che non gestiva correttamente i caratteri surrogati.
1.4.18.0
Avviso
Stiamo indagando su un evento imprevisto in cui alcuni clienti riscontrano un problema con i dispositivi aggiunti ibridi Microsoft Entra esistenti dopo l'aggiornamento a questa versione di Microsoft Entra Connessione. È consigliabile che i clienti che hanno distribuito l'aggiunta ibrida Microsoft Entra per posticipare l'aggiornamento a questa versione fino a quando la causa radice di questi problemi non viene pienamente compresa e mitigata. Verranno fornite altre informazioni il prima possibile.
Importante
Con questa versione di Microsoft Entra Connessione alcuni clienti potrebbero vedere alcuni o tutti i loro dispositivi Windows scomparire da Microsoft Entra ID. Queste identità del dispositivo non vengono usate da Microsoft Entra ID durante l'autorizzazione dell'accesso condizionale. Per altre informazioni, vedere Understanding Microsoft Entra Connessione 1.4.xx.x device scomparsa
Stato rilascio
25/09/2019: rilasciato solo per l'aggiornamento automatico.
Miglioramenti e nuove funzionalità
- I nuovi strumenti per la risoluzione dei problemi consentono di risolvere i problemi relativi agli scenari di "non sincronizzazione dell'utente", "non sincronizzazione del gruppo" o "membri del gruppo non sincronizzati".
- Aggiungere il supporto per i cloud nazionali in Microsoft Entra Connessione script di risoluzione dei problemi.
- I clienti devono essere informati che gli endpoint WMI deprecati per MIIS_Service ora sono stati rimossi. Tutte le operazioni WMI dovrebbero ora essere eseguite tramite i cmdlet di PowerShell.
- Miglioramento della sicurezza reimpostando la delega vincolata nell'oggetto AZUREADSSOACC.
- Quando si aggiunge o modifica una regola di sincronizzazione, se sono presenti attributi usati nella regola nello schema del connettore, ma non aggiunti al connettore, gli attributi verranno aggiunti automaticamente al connettore. Lo stesso vale per il tipo di oggetto su cui la regola ha effetto. Se viene aggiunto un elemento al connettore, il connettore verrà contrassegnato per l'importazione completa al successivo ciclo di sincronizzazione.
- L'uso di un amministratore aziendale o di dominio come account connettore non è più supportato nelle nuove distribuzioni di Microsoft Entra Connessione. Le distribuzioni correnti di Microsoft Entra Connessione che usano un amministratore aziendale o di dominio perché l'account connettore non sarà interessato da questa versione.
- In Gestione sincronizzazione viene eseguita una sincronizzazione completa in fase di creazione/modifica/eliminazione delle regole. Verrà visualizzata una finestra popup in qualsiasi modifica della regola che informa l'utente se verrà eseguita l'importazione completa o la sincronizzazione completa.
- Aggiunta dei passaggi di mitigazione per gli errori delle password alla pagina "connettività delle proprietà > dei > connettori".
- È stato aggiunto un avviso di deprecazione per Sync Service Manager nella pagina delle proprietà del connettore. Questo avviso notifica all'utente che le modifiche devono essere apportate tramite la procedura guidata di Microsoft Entra Connessione.
- È stato aggiunto un nuovo errore per i problemi relativi ai criteri password di un utente.
- Impedire la configurazione errata dei filtri di gruppo per filtri di dominio e unità organizzativa. Il filtro dei gruppi visualizzerà un errore quando il dominio o l'unità organizzativa del gruppo immesso è già filtrato. Il filtro dei gruppi impedisce all'utente di procedere fino a quando il problema non viene risolto.
- Gli utenti non possono più creare un connettore per Active Directory Domain Services o Windows Azure Active Directory nell'interfaccia utente di Synchronization Service Manager.
- Accessibilità fissa dei controlli dell'interfaccia utente personalizzati in Synchronization Service Manager.
- Abilitazione di sei attività di gestione della federazione per tutti i metodi di accesso in Microsoft Entra Connessione. In precedenza, solo l'attività "Aggiorna certificato TLS/SSL AD FS" era disponibile per tutti gli accessi.
- È stato aggiunto un avviso quando si modifica il metodo di accesso dalla federazione a PHS o PTA che tutti i domini e gli utenti di Microsoft Entra verranno convertiti in autenticazione gestita.
- Rimozione dei certificati di firma del token dall'attività "Reset Microsoft Entra ID and AD FS trust" e aggiunto un'attività secondaria separata per aggiornare questi certificati.
- È stata aggiunta una nuova attività di gestione della federazione denominata "Gestisci certificati" con sottoattività per aggiornare i certificati TLS o di firma del token per la farm AD FS.
- Aggiunta di una nuova sottoattività di gestione della federazione denominata "Specifica server primario" che consente agli amministratori di specificare un nuovo server primario per la farm AD FS.
- È stata aggiunta una nuova attività di gestione della federazione denominata "Gestisci server" con sottoattività per distribuire un server AD FS, distribuire un server proxy applicazione Web e specificare il server primario.
- È stata aggiunta una nuova attività di gestione della federazione denominata "Visualizza configurazione federativa" che visualizza le impostazioni correnti di AD FS. A causa di questa aggiunta, le impostazioni di AD FS sono state rimosse dalla pagina "Rivedi la soluzione".
Problemi risolti
- È stato risolto un problema di errore di sincronizzazione per lo scenario in cui un oggetto utente che assume il controllo dell'oggetto contatto corrispondente ha un self-reference ( ad esempio l'utente è il proprio manager).
- I popup della Guida ora vengono visualizzati sullo stato attivo della tastiera.
- Per l'aggiornamento automatico, se un'app in conflitto è in esecuzione da 6 ore, terminare e continuare con l'aggiornamento.
- Limitazione del numero di attributi che un cliente può selezionare a 100 per oggetto quando si selezionano le estensioni della directory. Questo limite impedirà l'errore durante l'esportazione perché Azure ha un massimo di 100 attributi di estensione per oggetto.
- Correzione di un bug per rendere lo script di Connessione ivity di Active Directory più affidabile.
- Correzione di un bug per rendere più affidabile l'installazione di Microsoft Entra Connessione in un computer usando un servizio WCF Named Pipes esistente.
- Diagnostica migliorata e risoluzione dei problemi relativi ai criteri di gruppo che non consentono l'avvio del servizio ADSync all'installazione iniziale.
- Correzione di un bug per cui il nome visualizzato per un computer Windows non era scritto correttamente.
- Correzione di un bug in cui il tipo di sistema operativo per un computer Windows non era scritto correttamente.
- Correzione di un bug per cui i computer non Windows 10 venivano sincronizzati in modo imprevisto. In conseguenza a questa modifica, i computer non Windows 10 sincronizzati in precedenza verranno ora eliminati. Ciò non influisce sulle funzionalità perché la sincronizzazione dei computer Windows viene usata solo per l'aggiunta al dominio Microsoft Entra ibrido, che funziona solo per i dispositivi Windows-10.
- Sono stati aggiunti diversi nuovi cmdlet (interni) al modulo PowerShell ADSync.
1.3.21.0
Importante
Si è verificato un problema noto relativo all'aggiornamento di Microsoft Entra Connessione da una versione precedente alla versione 1.3.21.0 in cui il portale di Microsoft 365 non riflette la versione aggiornata anche se Microsoft Entra Connessione aggiornato correttamente.
Per risolvere questo problema, è necessario importare il modulo AdSync e quindi eseguire il Set-ADSyncDirSyncConfiguration
cmdlet di PowerShell nel server Microsoft Entra Connessione. È possibile seguire la procedura seguente:
- Aprire PowerShell in modalità amministratore.
- Eseguire
Import-Module "ADSync"
. - Eseguire
Set-ADSyncDirSyncConfiguration -AnchorAttribute ""
.
Stato rilascio
14/05/2019: rilasciato per il download
Problemi risolti
- Correzione di una vulnerabilità di elevazione dei privilegi presente in Microsoft Entra Connessione build 1.3.20.0. Questa vulnerabilità, in determinate condizioni, può consentire a un utente malintenzionato di eseguire due cmdlet di PowerShell nel contesto di un account con privilegi ed eseguire azioni con privilegi. Questa patch di sicurezza risolve il problema disabilitando questi cmdlet. Per altre informazioni, vedere Aggiornamento della sicurezza.
1.3.20.0
Stato rilascio
24/04/2019: rilasciato per il download
Miglioramenti e nuove funzionalità
- Aggiunta del supporto per l'aggiornamento del dominio
- La funzionalità delle Cartelle pubbliche della posta di Exchange diventa di disponibilità generale
- Miglioramento della gestione degli errori della procedura guidata per gli errori del servizio
- È stato aggiunto il collegamento di avviso nell'interfaccia utente di Synchronization Service Manager nella pagina delle proprietà del connettore.
- La funzionalità di writeback dei gruppi unificati è ora di disponibilità generale
- Miglioramento del messaggio di errore SSPR se nel DC manca un controllo LDAP
- È stata aggiunta la diagnostica per gli errori del registro DCOM durante l'installazione
- Miglioramento dell'analisi degli errori RPC PHS
- Le credenziali EA da un dominio figlio sono consentite
- L'immissione del nome del database durante l'installazione (nome predefinito ADSync) è consentita
- Eseguire l'aggiornamento ad ADAL 3.19.8 per selezionare un aggiornamento WS-Trust per il ping e aggiungere il supporto per le nuove istanze di Azure
- Modificare le regole di sincronizzazione dei gruppi per eseguire il flusso samAccountName, DomainNetbios e DomainFQDN nel cloud, necessario per le attestazioni
- Gestione della regola di sincronizzazione predefinita modificata: per altre informazioni vedere qui.
- Aggiunta di un nuovo agente in esecuzione come servizio Windows. Questo agente, denominato "Amministrazione Agent", consente una diagnostica remota più approfondita del server Microsoft Entra Connessione per aiutare i tecnici Microsoft a risolvere i problemi quando si apre un caso di supporto. Questo agente non è installato e abilitato per impostazione predefinita. Per altre informazioni su come installare e abilitare l'agente, vedere Che cos'è Microsoft Entra Connessione Amministrazione Agent?.
- Il contratto di licenza con l'utente finale (EULA) è stato aggiornato.
- È stato aggiunto il supporto per l'aggiornamento automatico per le distribuzioni che usano AD FS come tipo di accesso. In questo modo è stato rimosso anche il requisito di aggiornamento dell'attendibilità relying party dell'ID Microsoft Entra DI AD FS come parte del processo di aggiornamento.
- È stata aggiunta un'attività di gestione trust id Microsoft Entra ID che offre due opzioni: analizzare/aggiornare l'attendibilità e reimpostare l'attendibilità.
- È stato modificato il comportamento di attendibilità della relying party dell'ID Microsoft Entra di AD FS in modo che usi sempre l'opzione -SupportMultipleDomain (include aggiornamenti del dominio trust e Microsoft Entra).
- È stato modificato il comportamento di installazione di una nuova AD FS farm in modo che richieda un certificato con estensione pfx rimuovendo l'opzione di uso di un certificato pre-installato.
- Aggiornamento del flusso di lavoro di installazione di una nuova farm AD FS in modo da consentire la distribuzione di 1 AD FS e 1 server WAP. Tutti i server aggiuntivi verranno eseguiti dopo l'installazione iniziale.
Problemi risolti
- Aggiornamento della logica di riconnessione SQL per il servizio ADSync
- Aggiornamento per consentire l'installazione pulita usando un database AOA SQL vuoto
- Correggere lo script delle autorizzazioni di PowerShell per perfezionare le autorizzazioni GWB
- Aggiornamento degli errori VSS con Local DB
- Correzione del messaggio di errore fuorviante quando il tipo di oggetto non è incluso nell'ambito
- Correzione di un problema per cui l'installazione di Microsoft Graph PowerShell in un server potrebbe causare un conflitto di assembly con Microsoft Entra Connessione.
- Correzione del bug PHS nel server di staging quando le credenziali del connettore vengono aggiornate nell'interfaccia utente di Synchronization Service Manager.
- Correzione di alcune perdite di memoria
- Correzioni di aggiornamenti automatici vari
- Correzioni varie per l'esportazione e l'elaborazione di importazione non confermata
- Correzione di un bug relativo alla gestione di una barra rovesciata nei filtri di dominio e di unità organizzativa
- È stato risolto un problema per cui il servizio ADSync richiede più di 2 minuti per l'arresto e causa un problema in fase di aggiornamento.
1.2.70.0
Stato rilascio
18/12/2018: rilasciato per il download
Problemi risolti
Questa compilazione aggiorna i connettori non standard (ad esempio generico LDAP Connessione or e Generic SQL Connessione or) forniti con Microsoft Entra Connessione. Per altre informazioni sui connettori applicabili, vedere la versione 1.1.911.0 nella Cronologia di rilascio delle versioni dei connettori.
1.2.69.0
Stato rilascio
11/12/2018: rilasciato per il download
Problemi risolti
Questa versione di aggiornamento rapido permette all'utente di selezionare un dominio di destinazione, all'interno della foresta specificata, per il contenitore RegisteredDevices quando si abilita il writeback dispositivi. Nelle versioni precedenti che contengono la nuova funzionalità Opzioni dispositivo (1.1.819.0 - 1.2.68.0), la posizione del contenitore RegisteredDevices era limitata alla radice della foresta e non consentiva domini figlio. Questa limitazione si manifesta solo nelle nuove distribuzioni, mentre gli aggiornamenti sul posto non sono interessati.
Se una compilazione contenente la funzionalità Opzioni dispositivo aggiornata è stata distribuita in un nuovo server e il writeback del dispositivo è stato abilitato, è necessario specificare manualmente il percorso del contenitore se non lo si vuole nella radice della foresta. A questo scopo, è necessario disabilitare il writeback dispositivi e abilitarlo di nuovo, in quanto questa operazione permette di specificare la posizione del contenitore nella pagina "Foresta di writeback".
1.2.68.0
Stato rilascio
11/30/2018: rilasciato per il download
Problemi risolti
Questa compilazione di hotfix corregge un conflitto in cui potrebbe verificarsi un errore di autenticazione a causa della presenza indipendente del modulo di Microsoft Graph PowerShell Gallery nel server di sincronizzazione.
1.2.67.0
Stato rilascio
19/11/2018: rilasciata per il download
Problemi risolti
Questa versione di aggiornamento rapido risolve una regressione nella versione precedente a causa di cui il writeback delle password ha esito negativo quando si usa un controller di dominio Active Directory Domain Services in Windows Server 2008/R2.
1.2.65.0
Stato rilascio
25/10/2018: rilasciato per il download
Miglioramenti e nuove funzionalità
- È stata modificata la funzionalità dell'attributo write-back per garantire che la casella vocale ospitata funzioni correttamente. In alcuni scenari, l'ID Microsoft Entra sovrascriveva l'attributo msExchUcVoicemail Impostazioni durante il writeback con un valore Null. Microsoft Entra ID non cancella più il valore locale di questo attributo se il valore cloud non è impostato.
- Aggiunta della diagnostica nella procedura guidata di Microsoft Entra Connessione per analizzare e identificare i problemi di Connessione ivity in Microsoft Entra ID. Tale diagnostica può anche essere eseguita direttamente tramite PowerShell usando il cmdlet Test-AdSyncAzureServiceConnectivity.
- Aggiunta della diagnostica nella procedura guidata di Microsoft Entra Connessione per analizzare e identificare i problemi di Connessione ivity in Active Directory. Tale diagnostica può anche essere eseguita direttamente tramite PowerShell con la funzione Start-ConnectivityValidation nel modulo ADConnectivityTools di PowerShell. Per altre informazioni, vedere Che cos'è ad AD Connessione ivityTool PowerShell Module?
- Aggiunta di un controllo preliminare della versione dello schema di ACTIVE Directory per l'aggiunta ibrida a Microsoft Entra e il writeback dei dispositivi
- È stato modificato l'attributo della pagina Estensione della directory in modo da non fare distinzione tra maiuscole/minuscole.
- È stato aggiunto il supporto completo per TLS 1.2. Questa versione supporta tutti gli altri protocolli disabilitati e viene abilitato solo TLS 1.2 nel computer in cui è installato Microsoft Entra Connessione. Per altre informazioni, vedere Imposizione di TLS 1.2 per Microsoft Entra Connessione
Problemi risolti
- È stato risolto un bug per cui Microsoft Entra Connessione Upgrade non riusciva se veniva usato SQL Always On.
- Risolto un bug per analizzare correttamente i nomi di unità organizzative contenenti una barra rovesciata.
- Risolto un problema che disabilitava l'autenticazione pass-through per un'installazione pulita in modalità di staging.
- Risolto un bug che impediva di caricare il modulo di PowerShell durante l'esecuzione degli strumenti di risoluzione dei problemi
- Risolto un bug che bloccava l'uso di valori numerici da parte degli utenti nel primo carattere del nome host.
- Correzione di un bug per cui Microsoft Entra Connessione consentiva partizioni non valide e selezione del contenitore
- Risolto il messaggio di errore "Password non valida" quando è abilitato l'accesso SSO Desktop.
- Varie correzioni di bug per la gestione di Trust AD FS
- Durante la configurazione del write-back dei dispositivi: è stato corretto il controllo dello schema per cercare la classe di oggetti msDs-DeviceContainer (introdotta in WS2012 R2)
1.1.882.0
9/7/2018: rilasciato per il download, non verrà rilasciato per l'aggiornamento automatico
Problemi risolti
L'aggiornamento di Microsoft Entra Connessione ha esito negativo se la disponibilità di SQL Always On è configurata per il database ADSync. Questo hotfix risolve il problema e consente di eseguire l'aggiornamento.
1.1.880.0
Stato rilascio
21/08/2018: rilasciata per aggiornamento automatico e download.
Miglioramenti e nuove funzionalità
- L'integrazione di Ping Federate in Microsoft Entra Connessione è ora disponibile per la disponibilità generale. Altre informazioni su come federato Microsoft Entra ID con Ping Federate
- Microsoft Entra Connessione ora crea il backup dell'attendibilità di Microsoft Entra ID in AD FS ogni volta che viene eseguito un aggiornamento e lo archivia in un file separato per semplificare il ripristino, se necessario. Altre informazioni sulle nuove funzionalità e sulla gestione dell'attendibilità dell'ID di Microsoft Entra in Microsoft Entra Connessione.
- Il nuovo strumento di risoluzione dei problemi consente di risolvere i problemi relativi alla modifica dell'indirizzo di posta elettronica principale e all'esclusione dell'account dall'elenco globale degli indirizzi
- Microsoft Entra Connessione è stato aggiornato per includere la versione più recente di SQL Server 2012 Native Client
- Quando si passa all'accesso utente alla sincronizzazione dell'hash delle password o all'autenticazione pass-through nell'attività "Modifica accesso utente", la casella di controllo Accesso Single Sign-On facile è abilitata per impostazione predefinita.
- Aggiunto supporto per Windows Server Essentials 2019
- L'agente microsoft Entra Connessione Health è stato aggiornato alla versione più recente 3.1.7.0
- Durante un aggiornamento, se il programma di installazione rileva modifiche alle regole di sincronizzazione predefinite, l'amministratore visualizza un messaggio di avviso prima di sovrascrivere le regole modificate. Con questa operazione consentirà all'utente di intraprendere azioni correttive e di riprendere in un secondo momento. Comportamento precedente: se esisteva una regola predefinita modificata, l'aggiornamento manuale sovrascriveva quelle regole senza dare alcun preavviso all'utente e l'utilità di pianificazione della sincronizzazione veniva disabilitata senza informare l'utente. Nuovo comportamento: all'utente verrà inviato un avviso prima di sovrascrivere le regole di sincronizzazione predefinite modificate. L'utente avrà la possibilità di interrompere il processo di aggiornamento e di riprenderlo dopo aver intrapreso un'azione correttiva.
- Fornire una migliore gestione di un problema di conformità FIPS, fornendo un messaggio di errore per la generazione di hash MD5 in un ambiente conforme a FIPS e un collegamento alla documentazione che fornisce una soluzione alternativa per questo problema.
- Aggiornamento dell'interfaccia utente per migliorare le attività di federazione nella procedura guidata, che ora si trovano in un sottogruppo separato per la federazione.
- Tutte le attività aggiuntive della federazione sono ora raggruppate in un singolo sottomenu per facilitarne l'uso.
- Un nuovo modulo ADSyncConfig Posh rinnovato (AdSyncConfig.psm1) con nuove funzioni di autorizzazioni di AD spostate dal vecchio ADSyncPrep.psm1 (che potrebbe essere ritirato a breve)
Problemi risolti
- È stato risolto un bug per cui il server Microsoft Entra Connessione mostrava un utilizzo elevato della CPU dopo l'aggiornamento a .NET 4.7.2
- Risolto un bug che generava in modo intermittente un messaggio di errore per un problema di deadlock SQL risolto automaticamente
- Risolti alcuni problemi di accessibilità per Sync Rules Editor e Sync Service Manager
- Correzione di un bug per cui Microsoft Entra Connessione non è in grado di ottenere informazioni sulle impostazioni del Registro di sistema
- Risolto un bug che creava problemi quando l'utente andava avanti/indietro nella procedura guidata
- Risolto un bug per evitare che si verificasse un errore a causa di una gestione multi-thread errata nella procedura guidata
- Quando si verifica un errore LDAP durante la risoluzione dei gruppi di sicurezza, microsoft Entra Connessione ora restituisce l'eccezione con la massima fedeltà. La causa radice dell'eccezione di riferimento non è ancora nota e verrà risolta da un bug diverso.
- Correzione di un bug per cui le autorizzazioni per le chiavi STK e NGC (attributo ms-DS-KeyCredentialLink per gli oggetti User/Device per WHfB) non sono state impostate correttamente.
- Correzione di un bug per cui 'Set-ADSyncRestrictedPermissions' non è stato chiamato correttamente
- Aggiunta del supporto per la concessione di autorizzazioni per il writeback del gruppo nell'installazione guidata di Microsoft Entra Connessione
- Quando si modifica il metodo di accesso da Sincronizzazione hash delle password ad AD FS, sincronizzazione dell'hash delle password non è stata disabilitata.
- Aggiunta verifica per gli indirizzi IPv6 nella configurazione di AD FS
- Aggiornato il messaggio di notifica per informare della presenza di una configurazione esistente.
- Il writeback del dispositivo non riesce a rilevare il contenitore nella foresta non attendibile. È stato aggiornato per fornire un messaggio di errore migliore e un collegamento alla documentazione appropriata
- La deselezione di un'Unità organizzativa e quindi la sincronizzazione/il writeback corrispondente a tale Unità organizzativa produce un errore di sincronizzazione generico. È stato modificato per creare un messaggio di errore più comprensibile.
1.1.819.0
Stato rilascio
14/05/2018: rilasciata per aggiornamento automatico e download.
Miglioramenti e nuove funzionalità
Miglioramenti e nuove funzionalità
- Questa versione include l'anteprima pubblica dell'integrazione di PingFederate in Microsoft Entra Connessione. Con questa versione, i clienti possono configurare facilmente e in modo affidabile l'ambiente Microsoft Entra per sfruttare PingFederate come provider federativo. Per altre informazioni su come usare questa nuova funzionalità, vedere la documentazione online.
- Aggiornamento dell'Utilità risoluzione dei problemi di Microsoft Entra Connessione Wizard, in cui ora analizza più scenari di errore, ad esempio cassette postali collegate e gruppi dinamici di ACTIVE Directory. Per altre informazioni sull'utilità di risoluzione dei problemi, vedere qui.
- La configurazione del writeback dei dispositivi viene ora gestita esclusivamente all'interno della Procedura guidata di Microsoft Entra Connessione.
- Sono stati aggiunti un nuovo modulo di PowerShell, denominato ADSyncTools.psm1, che può essere usato per risolvere i problemi di connettività di SQL, e diverse altre utilità di risoluzione dei problemi. Per altre informazioni sul modulo ADSyncTools, vedere qui.
- È stata aggiunta una nuova attività "Configura le opzioni del dispositivo". È possibile usare l'attività per configurare le due operazioni seguenti:
- Aggiunta ibrida a Microsoft Entra: se l'ambiente ha un footprint di AD locale e si vuole anche trarre vantaggio dalle funzionalità fornite da Microsoft Entra ID, è possibile implementare i dispositivi aggiunti all'ibrido Microsoft Entra. Si tratta di dispositivi che sono entrambi aggiunti al Active Directory locale e all'ID Microsoft Entra.
- Writeback dei dispositivi: il writeback del dispositivo viene usato per abilitare l'accesso condizionale in base ai dispositivi protetti da AD FS (2012 R2 o versione successiva)
Nota
- L'opzione per abilitare il writeback dispositivi da Personalizzazione delle opzioni di sincronizzazione verrà disabilitata.
- Il modulo PowerShell per ADPrep è deprecato in questa versione.
Problemi risolti
- Questa versione aggiorna l'installazione di SQL Server Express a SQL Server 2012 SP4, che, tra le altre cose, corregge diverse vulnerabilità della sicurezza. Altre informazioni su SQL Server 2012 SP4 sono disponibili qui.
- Elaborazione delle regole di sincronizzazione: l'applicazione delle regole di sincronizzazione di unione in uscita senza condizioni di join dovrebbe risultare annullata se la regola di sincronizzazione padre non è più applicabile
- Diverse correzioni a livello di accessibilità sono state applicate all'interfaccia utente di Synchronization Service Manager e all'editor delle regole di sincronizzazione
- Creazione guidata di Microsoft Entra Connessione: errore durante la creazione di un account di Connessione or di Active Directory quando Microsoft Entra Connessione si trova in un gruppo di lavoro
- Microsoft Entra Connessione Wizard: nella pagina di accesso di Microsoft Entra viene visualizzata la casella di controllo verifica ogni volta che si verifica una mancata corrispondenza nei domini DI ACTIVE Directory e nei domini verificati di Microsoft Entra ID
- Correzione in PowerShell dell'aggiornamento automatico per impostare correttamente lo stato di aggiornamento automatico in alcuni casi, dopo il tentativo di aggiornamento automatico.
- Microsoft Entra Connessione Wizard: aggiornamento dei dati di telemetria per acquisire informazioni mancanti in precedenza
- Procedura guidata di Microsoft Entra Connessione: sono state apportate le modifiche seguenti quando si usa l'attività Modifica accesso utente per passare da AD FS all'autenticazione pass-through:
- L'agente di autenticazione pass-through viene installato nel server Microsoft Entra Connessione e la funzionalità di autenticazione pass-through è abilitata, prima di convertire i domini da federati a gestiti.
- Gli utenti non vengono più convertiti da federati a gestiti. Vengono convertiti solo i domini.
- Microsoft Entra Connessione Procedura guidata: AD FS Multi Domain Regex non è corretto quando l'UPN dell'utente ha il carattere speciale Regex update per supportare caratteri speciali
- Procedura guidata di Microsoft Entra Connessione: rimuovere il messaggio "Configura attributo di ancoraggio di origine" quando non viene apportata alcuna modifica
- Procedura guidata di Microsoft Entra Connessione: supporto di AD FS per lo scenario di federazione duale
- Procedura guidata microsoft Entra Connessione: le attestazioni AD FS non vengono aggiornate per il dominio aggiunto durante la conversione di un dominio gestito in federato
- Procedura guidata di Microsoft Entra Connessione: durante il rilevamento dei pacchetti installati, vengono rilevati prodotti correlati a Dirsync/Azure Connessione AD Sync/Azure AD non aggiornati. Si proverà ora a disinstallare i prodotti non aggiornati.
- Microsoft Entra Connessione Wizard: Correzione del mapping dei messaggi di errore quando l'installazione dell'agente di autenticazione pass-through non riesce
- Procedura guidata di Microsoft Entra Connessione: Rimozione del contenitore "Configurazione" dalla pagina Filtro unità organizzativa di dominio
- Installazione del motore di sincronizzazione: rimuovere la logica legacy non necessaria, che a volte ha esito negativo, dal file MSI di installazione del motore di sincronizzazione
- Procedura guidata di Microsoft Entra Connessione: Correzione del testo della Guida popup nella pagina Funzionalità facoltative per la sincronizzazione dell'hash delle password
- Runtime del motore di sincronizzazione: correggere lo scenario in cui un oggetto CS contiene un'eliminazione importata e le regole di sincronizzazione provano a effettuare di nuovo il provisioning dell'oggetto.
- Runtime del motore di sincronizzazione: aggiungere il collegamento della Guida alla risoluzione dei problemi di connettività online al log eventi per un errore di importazione
- Runtime del motore di sincronizzazione: utilizzo ridotto della memoria nell'utilità di pianificazione della sincronizzazione quando si enumerano i connettori
- Procedura guidata di Microsoft Entra Connessione: consente di risolvere un problema che risolve un account del servizio di sincronizzazione personalizzato senza privilegi di lettura di Active Directory
- Procedura guidata di Microsoft Entra Connessione: Migliorare la registrazione delle selezioni di filtro di domini e unità organizzative
- Procedura guidata di Microsoft Entra Connessione: AD FS Aggiungere attestazioni predefinite all'attendibilità federativa creata per lo scenario MFA
- Procedura guidata microsoft Entra Connessione: Distribuzione WAP di AD FS: l'aggiunta del server non riesce a usare un nuovo certificato
- Procedura guidata di Microsoft Entra Connessione: eccezione DSSO quando onPremCredentials non vengono inizializzati per un dominio
- È preferibile propagare l'attributo distinguishedName di AD da Active User Object.
- È stato risolto un bug estetico a causa del quale la precedenza della prima regola di sincronizzazione di OOB era impostata su 99 invece che su 100
1.1.751.0
Stato del 12/04/2018: rilasciato solo per il download
Microsoft Entra Connect Sync
Problemi risolti
È stato corretto un problema per il quale l'individuazione automatica di istanze di Azure per i tenant della Cina talvolta aveva esito negativo.
Gestione di ADFS
Problemi risolti
Un problema nella logica di ripetizione dei tentativi di configurazione causava l'ArgumentException "È stato già aggiunto un elemento con la stessa chiave" e l'esito negativo di tutti i nuovi tentativi.
1.1.750.0
Stato del 22/03/2018: rilasciato per aggiornamento automatico e download.
Nota
Al termine dell'aggiornamento a questa nuova versione, attiverà automaticamente una sincronizzazione completa e un'importazione completa per il connettore Microsoft Entra e una sincronizzazione completa per il connettore AD. Poiché questo potrebbe richiedere del tempo, a seconda delle dimensioni dell'ambiente microsoft Entra Connessione, assicurarsi di aver eseguito i passaggi necessari per supportare questo o tenere premuto l'aggiornamento fino a quando non si è trovato un momento pratico per farlo.
Nota
"La funzionalità AutoUpgrade è stata erroneamente disabilitata ad alcuni tenant che hanno distribuito build successive a 1.1.524.0. Per assicurarsi che l'istanza di Microsoft Entra Connessione sia ancora idonea per AutoUpgrade, eseguire il cmdlet di PowerShell seguente: "Set-ADSyncAutoUpgrade -AutoupGradeState Enabled"
Microsoft Entra Connect
Problemi risolti
- Il cmdlet Set-ADSyncAutoUpgrade bloccava in precedenza l'aggiornamento automatico con lo stato di aggiornamento automatico impostato su Sospeso. Questa funzionalità è stata modificata in modo che non blocchi AutoUpgrade delle build future.
- L'opzione "Sincronizzazione password" della pagina Accesso utente è stata modificata in "Sincronizzazione dell'hash delle password". Microsoft Entra Connessione sincronizza gli hash delle password, non le password, quindi si allinea a ciò che si sta effettivamente verificando. Per altre informazioni, vedere Implementare la sincronizzazione dell'hash delle password con Microsoft Entra Connessione Sync
1.1.749.0
Stato: rilasciato per alcuni clienti
Nota
Al termine dell'aggiornamento a questa nuova versione, attiverà automaticamente una sincronizzazione completa e un'importazione completa per il connettore Microsoft Entra e una sincronizzazione completa per il connettore AD. Poiché questa operazione potrebbe richiedere del tempo, a seconda delle dimensioni dell'ambiente microsoft Entra Connessione, assicurarsi di aver eseguito i passaggi necessari per supportare questo o tenere premuto l'aggiornamento fino a quando non si è trovato un momento pratico per farlo.
Microsoft Entra Connect
Problemi risolti
Correzione della finestra temporale nelle attività in background per la pagina Filtro partizioni nel passaggio alla pagina successiva.
Correzione di un bug che provocava la violazione di accesso durante l'azione personalizzata ConfigDB.
Correzione di un bug per il ripristino dal timeout di connessione SQL.
Correzione di un bug in cui i certificati con caratteri jolly SAN non superavano una verifica preliminare.
Correzione di un bug che causa l'arresto anomalo di miiserver.exe durante un'esportazione del connettore Microsoft Entra.
Correzione di un bug che causa un tentativo non valido di password connesso al controller di dominio durante l'esecuzione della procedura guidata di Microsoft Entra Connessione per modificare la configurazione.
Miglioramenti e nuove funzionalità
- Aggiunta di impostazioni di privacy per la normativa GDPR (General Data Protection Regulation). Per altre informazioni, vedere l'articolo qui.
Nota
Questo articolo descrive le procedure per l'eliminazione dei dati personali dal dispositivo o dal servizio e può essere usato per adempiere gli obblighi del Regolamento generale sulla protezione dei dati (GDPR). Per informazioni generali sul GDPR, vedi la sezione GDPR del Centro protezione Microsoft e la sezione GDPR del Service Trust Portal.
Dati di telemetria dell'applicazione: l'amministratore può attivare/disattivare questa classe di dati in base alle esigenze
Dati di Integrità di Microsoft Entra: l'amministratore deve visitare il portale di integrità per controllare le impostazioni di integrità. Dopo aver modificato i criteri del servizio, gli agenti li leggeranno e applicheranno.
Aggiunta di azioni di configurazione per il writeback dei dispositivi e indicatore di stato per l'inizializzazione della pagina
Miglioramento della diagnostica generale con report HTML e raccolta completa di dati in un report in formato ZIP di testo/HTML
Migliore affidabilità dell'aggiornamento automatico e aggiunta di dati di telemetria per assicurare che sia possibile determinare l'integrità del server
Limitazione delle autorizzazioni disponibili per gli account con privilegi per account AD Connect
Per le nuove installazioni, la procedura guidata limiterà le autorizzazioni che gli account con privilegi hanno nell'account PowerShell di Microsoft Graph dopo aver creato l'account PowerShell di Microsoft Graph.
Le modifiche riguarderanno:
- Installazioni rapide
- Installazioni personalizzate con account a creazione automatica
- Modifica del programma di installazione in modo che non richieda il privilegio SA per l'installazione pulita di Microsoft Entra Connessione
Aggiunta di una nuova utilità per risolvere i problemi di sincronizzazione per un oggetto specifico. È disponibile nell'opzione "Risoluzione dei problemi di sincronizzazione oggetti" di Microsoft Entra Connessione Wizard Risolvere i problemi di attività aggiuntive. L'utilità esegue attualmente le verifiche seguenti:
UserPrincipalName non corrispondente tra l'oggetto utente sincronizzato e l'account utente nel tenant di Microsoft Entra.
Se l'oggetto viene escluso dalla sincronizzazione a causa dei filtri di dominio
Se l'oggetto viene escluso dalla sincronizzazione a causa dei filtri dell'unità organizzativa
Aggiunta di una nuova utilità per la sincronizzazione dell'hash delle password corrente archiviato nell'istanza locale di Active Directory per un account utente specifico.
L'utilità non richiede una modifica della password. È disponibile nell'opzione "Risoluzione dei problemi di sincronizzazione dell'hash delle password" di Microsoft Entra Connessione Wizard Risolvere i problemi di attività aggiuntive.
1.1.654.0
Stato: 12 dicembre 2017
Microsoft Entra Connect
È stato aggiunto un miglioramento a Microsoft Entra Connessione versione 1.1.654.0 (e successive) per assicurarsi che le modifiche alle autorizzazioni consigliate descritte nella sezione Bloccare l'accesso all'account di Active Directory Domain Services vengano applicate automaticamente quando Microsoft Entra Connessione crea l'account di Active Directory Domain Services.
- Quando si configura Microsoft Entra Connessione, l'amministratore di installazione può fornire un account di Active Directory Domain Services esistente o consentire a Microsoft Entra Connessione di creare automaticamente l'account. Le modifiche alle autorizzazioni vengono applicate automaticamente all'account di Active Directory Domain Services creato da Microsoft Entra Connessione durante l'installazione. Non vengono applicate all'account di Active Directory Domain Services esistente fornito dall'amministratore di installazione.
- Per i clienti che hanno eseguito l'aggiornamento da una versione precedente di Microsoft Entra Connessione alla versione 1.1.654.0 (o successiva), le modifiche alle autorizzazioni non verranno applicate retroattivamente agli account di Active Directory Domain Services esistenti creati prima dell'aggiornamento. Verranno applicati solo ai nuovi account di Active Directory Domain Services creati dopo l'aggiornamento. Ciò si verifica quando si aggiungono nuove foreste di Active Directory da sincronizzare con Microsoft Entra ID.
Nota
Questa versione rimuove solo la vulnerabilità per le nuove installazioni di Microsoft Entra Connessione in cui l'account del servizio viene creato dal processo di installazione. Per le installazioni esistenti o nei casi in cui si fornisce manualmente l'account, è necessario assicurarsi che questa vulnerabilità non esista.
Bloccare l'accesso all'account di Active Directory Domain Services
Bloccare l'accesso all'account di Active Directory Domain Services implementando le seguenti modifiche alle autorizzazioni in AD locale:
- Disabilitare l'ereditarietà nell'oggetto specificato
- Rimuovere tutte le voci ACE nell'oggetto specifico, ad eccezione delle voci ACE specifiche di SELF. Le autorizzazioni predefinite devono rimanere inalterate per SELF.
- Assegnare le autorizzazioni specifiche seguenti:
Type | Nome | Accesso | Si applica a |
---|---|---|---|
Consenti | SYSTEM | Controllo completo | Questo oggetto |
Consenti | Amministratori Enterprise | Controllo completo | Questo oggetto |
Consenti | Domain Admins | Controllo completo | Questo oggetto |
Consenti | Amministratori | Controllo completo | Questo oggetto |
Consenti | Controller di dominio organizzazione | Contenuto elenco | Questo oggetto |
Consenti | Controller di dominio organizzazione | Leggi tutte le proprietà | Questo oggetto |
Consenti | Controller di dominio organizzazione | Autorizzazioni di lettura | Questo oggetto |
Consenti | Utenti autenticati | Contenuto elenco | Questo oggetto |
Consenti | Utenti autenticati | Leggi tutte le proprietà | Questo oggetto |
Consenti | Utenti autenticati | Autorizzazioni di lettura | Questo oggetto |
Script di PowerShell per restringere le impostazioni per un account del servizio pre-esistente
Per usare lo script di PowerShell, per applicare queste impostazioni, a un account di Active Directory Domain Services preesistente, (ether fornito dall'organizzazione o creato da un'installazione precedente di Microsoft Entra Connessione, scaricare lo script dal collegamento fornito sopra.
Utilizzo:
Set-ADSyncRestrictedPermissions -ObjectDN <$ObjectDN> -Credential <$Credential>
Dove
$ObjectDN = account Active Directory di cui restringere le autorizzazioni.
$Credential = credenziali dell'amministratore che ha i privilegi necessari per limitare le autorizzazioni per l'account $ObjectDN. Questi privilegi sono generalmente gestiti dall'amministratore Enterprise o del dominio. Usare il nome di dominio completo dell'account amministratore per evitare errori di ricerca dell'account. Esempio: contoso.com\admin.
Nota
Il formato di $credential.UserName deve essere FQDN\nomeutente. Esempio: contoso.com\admin
Esempio:
Set-ADSyncRestrictedPermissions -ObjectDN "CN=TestAccount1,CN=Users,DC=bvtadwbackdc,DC=com" -Credential $credential
Questa vulnerabilità è stata usata per ottenere un accesso non autorizzato?
Per verificare se questa vulnerabilità è stata usata per compromettere la configurazione di Microsoft Entra Connessione, è necessario verificare l'ultima data di reimpostazione della password dell'account del servizio. Se il timestamp non è previsto, è necessario eseguire un'analisi più approfondita tramite il log eventi dell'evento di reimpostazione della password.
Per altre informazioni, vedere Microsoft Security Advisory 4056318 (Avviso di sicurezza Microsoft 4056318).
1.1.649.0
Stato: 27 ottobre 2017
Nota
Questa compilazione non è disponibile per i clienti tramite la funzionalità Di aggiornamento automatico di Microsoft Entra Connessione.
Microsoft Entra Connect
Problema risolto
- È stato risolto un problema di compatibilità delle versioni tra Microsoft Entra Connessione e Microsoft Entra Connessione Health Agent (per la sincronizzazione). Questo problema interessa i clienti che eseguono l'aggiornamento sul posto a Microsoft Entra Connessione alla versione 1.1.647.0, ma attualmente ha Health Agent versione 3.0.127.0. Dopo l'aggiornamento, l'agente di integrità non può più inviare dati sull'integrità relativi al servizio di sincronizzazione di Microsoft Entra Connessione a Microsoft Entra Servizio integrità. Con questa correzione, Health Agent versione 3.0.129.0 viene installato durante l'aggiornamento sul posto di Microsoft Entra Connessione. Health Agent versione 3.0.129.0 non presenta problemi di compatibilità con Microsoft Entra Connessione versione 1.1.649.0.
1.1.647.0
Stato: 19 ottobre 2017
Importante
Esiste un problema di compatibilità noto tra Microsoft Entra Connessione versione 1.1.647.0 e Microsoft Entra Connessione Health Agent (per la sincronizzazione) versione 3.0.127.0. Questo problema impedisce all'agente di integrità di inviare dati sull'integrità relativi al servizio di sincronizzazione di Microsoft Entra Connessione (inclusi gli errori di sincronizzazione degli oggetti e i dati della cronologia di esecuzione) a Microsoft Entra Servizio integrità. Prima di aggiornare manualmente la distribuzione di Microsoft Entra Connessione alla versione 1.1.647.0, verificare la versione corrente di Microsoft Entra Connessione Health Agent installata nel server microsoft Entra Connessione. A tale scopo, passare a Pannello di controllo → Aggiungi programmi e cercare l'applicazione Microsoft Entra Connessione Health Agent for Sync. Se la versione è 3.0.127.0, è consigliabile attendere che la prossima versione di Microsoft Entra Connessione sia disponibile prima dell'aggiornamento. Se la versione dell'agente integrità non è 3.0.127.0, è consigliabile procedere con l'aggiornamento manuale sul posto. Questo problema non influisce sull'aggiornamento swing o sui clienti che eseguono una nuova installazione di Microsoft Entra Connessione.
Microsoft Entra Connect
Problemi risolti
Risolto un problema relativo all'attività Modifica accesso utente nella procedura guidata di Microsoft Entra Connessione:
Il problema si verifica quando si dispone di una distribuzione di Microsoft Entra Connessione esistente con sincronizzazione password abilitata e si sta provando a impostare il metodo di accesso utente come autenticazione pass-through. Prima che la modifica venisse applicata, la procedura guidata mostrava in modo errato il prompt di disabilitazione della sincronizzazione delle password. La sincronizzazione delle password rimaneva tuttavia abilitata anche dopo l'applicazione della modifica. Con questa correzione, la procedura guidata non visualizza più il prompt.
Per impostazione predefinita, la procedura guidata non disabilita la sincronizzazione delle password quando si aggiorna il metodo di accesso utente usando l'attività Modifica accesso utente . Ciò consente di evitare interruzioni ai clienti che vogliono mantenere la sincronizzazione delle password, anche se abilitano l'autenticazione pass-through o la federazione come metodo di accesso utente principale.
Per disabilitare la sincronizzazione delle password dopo aver aggiornato il metodo di accesso utente, è necessario eseguire l'attività Customize Synchronization Configuration (Personalizzare la configurazione della sincronizzazione) nella procedura guidata. Quando si accede alla pagina Funzionalità facoltative, deselezionare l'opzione Sincronizzazione password.
Si noti che lo stesso problema si verifica anche se si tenta di abilitare/disabilitare l'accesso Single Sign-On facile. In particolare, si dispone di una distribuzione di Microsoft Entra Connessione esistente con sincronizzazione password abilitata e il metodo di accesso utente è già configurato come autenticazione pass-through. Usando l'attività Modifica accesso utente , si tenta di selezionare/deselezionare l'opzione Abilita accesso Single Sign-On facile mentre il metodo di accesso utente rimane configurato come "Autenticazione pass-through". Prima che la modifica venisse applicata, la procedura guidata mostrava in modo errato il prompt di disabilitazione della sincronizzazione delle password. La sincronizzazione delle password rimaneva tuttavia abilitata anche dopo l'applicazione della modifica. Con questa correzione, la procedura guidata non visualizza più il prompt.
Risolto un problema relativo all'attività Modifica accesso utente nella procedura guidata di Microsoft Entra Connessione:
Il problema si verifica quando si dispone di una distribuzione di Microsoft Entra Connessione esistente con sincronizzazione password disabilitata e si sta provando a impostare il metodo di accesso utente come autenticazione pass-through. Quando viene applicata la modifica, la procedura guidata consente sia l'autenticazione pass-through e la sincronizzazione delle password. Con questa correzione, la procedura guidata non abilita più la sincronizzazione delle password.
In precedenza, la sincronizzazione delle password era un prerequisito per l'abilitazione dell'autenticazione pass-through. Quando si impostava il metodo di accesso utente come Autenticazione pass-through, la procedura guidata abilitava sia l'autenticazione pass-through sia la sincronizzazione delle password. Di recente, la sincronizzazione delle password non costituisce più un prerequisito. Come parte di Microsoft Entra Connessione versione 1.1.557.0, è stata apportata una modifica a Microsoft Entra Connessione per non abilitare la sincronizzazione delle password quando si imposta il metodo di accesso utente come autenticazione pass-through. Tuttavia, la modifica è stata applicata solo all'installazione di Microsoft Entra Connessione. Con questa correzione, la stessa modifica viene applicata anche all'attività Cambia l'accesso utente.
Si noti che lo stesso problema si verifica anche se si tenta di abilitare/disabilitare l'accesso Single Sign-On facile. In particolare, si dispone di una distribuzione di Microsoft Entra Connessione esistente con sincronizzazione password disabilitata e il metodo di accesso utente è già configurato come autenticazione pass-through. Usando l'attività Modifica accesso utente , si tenta di selezionare/deselezionare l'opzione Abilita accesso Single Sign-On facile mentre il metodo di accesso utente rimane configurato come "Autenticazione pass-through". Quando viene applicata la modifica, la procedura guidata abilita la sincronizzazione delle password. Con questa correzione, la procedura guidata non abilita più la sincronizzazione delle password.
È stato risolto un problema che causava l'esito negativo dell'aggiornamento di Microsoft Entra Connessione con l'errore "Impossibile aggiornare il servizio di sincronizzazione". Inoltre, il servizio di sincronizzazione non è più avviato con l'evento di errore "The service was unable to start because the version of the database is newer than the version of the binaries installed" (Impossibile avviare il servizio, poiché la versione del database è più recente della versione dei binari installati). Il problema si verifica quando l'amministratore che esegue l'aggiornamento non dispone del privilegio sysadmin per il server SQL usato da Microsoft Entra Connessione. Con questa correzione, Microsoft Entra Connessione richiede solo all'amministratore di avere db_owner privilegio per il database ADSync durante l'aggiornamento.
È stato risolto un problema di aggiornamento di Microsoft Entra Connessione che interessava i clienti che hanno abilitato l'accesso Single Sign-On facile. Dopo l'aggiornamento di Microsoft Entra Connessione, l'accesso Single Sign-On facile viene visualizzato erroneamente disabilitato nella procedura guidata di Microsoft Entra Connessione, anche se la funzionalità rimane abilitata e completamente funzionante. Con questa correzione, la funzionalità appare ora correttamente abilitata nella procedura guidata.
È stato risolto un problema che causava la creazione guidata di Microsoft Entra Connessione mostra sempre il prompt "Configura ancoraggio di origine" nella pagina Pronto per la configurazione, anche se non sono state apportate modifiche relative all'ancoraggio di origine.
Quando si esegue l'aggiornamento manuale sul posto di Microsoft Entra Connessione, il cliente deve fornire le credenziali globali di Amministrazione istrator del tenant Microsoft Entra corrispondente. In precedenza, l'aggiornamento poteva procedere anche se le credenziali di Global Amministrazione istrator appartenevano a un tenant Microsoft Entra diverso. Durante il completamento dell'aggiornamento, alcune configurazioni non vengono mantenute correttamente con l'aggiornamento. Con questa modifica, la procedura guidata impedisce all'aggiornamento di procedere se le credenziali fornite non corrispondono al tenant di Microsoft Entra.
Rimozione della logica ridondante che ha riavviato inutilmente Microsoft Entra Connessione health service all'inizio di un aggiornamento manuale.
Miglioramenti e nuove funzionalità
- Aggiunta della logica per semplificare i passaggi necessari per configurare Microsoft Entra Connessione con Microsoft Germania Cloud. In precedenza, è necessario aggiornare chiavi del Registro di sistema specifiche nel server Microsoft Entra Connessione affinché funzioni correttamente con Microsoft Germania Cloud, come descritto in questo articolo. A questo punto, Microsoft Entra Connessione può rilevare automaticamente se il tenant si trova in Microsoft Germania Cloud in base alle credenziali dell'identità ibrida Amministrazione istrator fornite durante l'installazione.
Microsoft Entra Connect Sync
Nota
Nota: il servizio di sincronizzazione ha un'interfaccia WMI che consente di sviluppare un'utilità di pianificazione personalizzata. Questa interfaccia è ora deprecata e verrà rimossa dalle versioni future di Microsoft Entra Connessione spedite dopo il 30 giugno 2018. I clienti che vogliono personalizzare la pianificazione della sincronizzazione devono usare l'utilità di pianificazione predefinita.
Problemi risolti
Quando la procedura guidata di Microsoft Entra Connessione crea l'account Connessione or di AD necessario per sincronizzare le modifiche da Active Directory locale, non assegna correttamente l'account l'autorizzazione necessaria per leggere gli oggetti PublicFolder. Questo problema riguarda sia l'installazione rapida sia l'installazione personalizzata. Questa modifica risolve il problema.
È stato risolto un problema che causava il rendering della pagina di risoluzione dei problemi di Microsoft Entra Connessione Wizard per gli amministratori in esecuzione da Windows Server 2016.
Miglioramenti e nuove funzionalità
Durante la risoluzione dei problemi relativi alla sincronizzazione delle password tramite la pagina di risoluzione dei problemi di Microsoft Entra Connessione procedura guidata, la pagina di risoluzione dei problemi restituisce ora lo stato specifico del dominio.
In precedenza, se si tenta di abilitare la sincronizzazione dell'hash delle password, Microsoft Entra Connessione non verifica se l'account Connessione or di ACTIVE Directory dispone delle autorizzazioni necessarie per sincronizzare gli hash delle password da AD locale. Ora, la procedura guidata di Microsoft Entra Connessione verificherà e avvisa se l'account Connessione or di AD non dispone di autorizzazioni sufficienti.
Gestione di ADFS
Problema risolto
- È stato risolto un problema relativo all'uso della funzionalità ms-DS-ConsistencyGuid come sourceAnchor. Questo problema interessa i clienti che hanno configurato Federazione tramite AD FS come metodo di accesso utente. Quando si esegue l'attività Configura ancoraggio di origine nella procedura guidata, Microsoft Entra Connessione passa all'uso di *ms-DS-ConsistencyGuid come attributo di origine per immutableId. Come parte di questa modifica, Microsoft Entra Connessione tenta di aggiornare le regole attestazioni per ImmutableId in AD FS. Tuttavia, questo passaggio non è riuscito perché Microsoft Entra Connessione non dispone delle credenziali di amministratore necessarie per configurare AD FS. Con questa correzione, Microsoft Entra Connessione ora richiede di immettere le credenziali di amministratore per AD FS quando si esegue l'attività Configura ancoraggio di origine.
1.1.614.0
Stato: 5 settembre 2017
Microsoft Entra Connect
Problemi noti
Si è verificato un problema noto che causa l'esito negativo dell'aggiornamento di Microsoft Entra Connessione con errore "Impossibile aggiornare il servizio di sincronizzazione". Inoltre, il servizio di sincronizzazione non è più avviato con l'evento di errore "The service was unable to start because the version of the database is newer than the version of the binaries installed" (Impossibile avviare il servizio, poiché la versione del database è più recente della versione dei binari installati). Il problema si verifica quando l'amministratore che esegue l'aggiornamento non dispone del privilegio sysadmin per il server SQL usato da Microsoft Entra Connessione. Le autorizzazioni dbo non sono sufficienti.
Si è verificato un problema noto con Microsoft Entra Connessione Upgrade che interessa i clienti che hanno abilitato l'accesso Single Sign-On facile. Dopo l'aggiornamento di Microsoft Entra Connessione, la funzionalità viene visualizzata come disabilitata nella procedura guidata, anche se la funzionalità rimane abilitata. La correzione per questo problema verrà implementata in una versione successiva. I clienti interessati a questo problema di visualizzazione possono risolverlo manualmente abilitando l'accesso Single Sign-On facile nella procedura guidata.
Problemi risolti
- È stato risolto un problema che impediva a Microsoft Entra Connessione di aggiornare le regole delle attestazioni in AD FS locale, abilitando la funzionalità ms-DS-ConsistencyGuid come ancoraggio di origine. Il problema si verifica se si tenta di abilitare la funzionalità per una distribuzione di Microsoft Entra Connessione esistente con AD FS configurato come metodo di accesso. Il problema si verifica perché la procedura guidata non richiede le credenziali di ADFS prima di tentare di aggiornare le regole delle attestazioni in AD FS.
- È stato risolto un problema che causava l'esito negativo dell'installazione di Microsoft Entra Connessione se la foresta AD locale ha disabilitato NTLM. Il problema è dovuto a Microsoft Entra Connessione procedura guidata che non fornisce credenziali complete durante la creazione dei contesti di sicurezza necessari per l'autenticazione Kerberos. In questo modo, l'autenticazione Kerberos non riesce e microsoft Entra Connessione procedura guidata di fallback all'uso di NTLM.
Microsoft Entra Connect Sync
Problemi risolti
- È stato risolto un problema per cui non è possibile creare una nuova regola di sincronizzazione se l'attributo Tag non è popolato.
- È stato risolto un problema che causava la connessione di Microsoft Entra Connessione ad AD locale per la sincronizzazione delle password tramite NTLM, anche se Kerberos è disponibile. Questo problema si verifica se la topologia dell'istanza locale di Active Directory ha uno o più controller di dominio ripristinati da un backup.
- È stato risolto un problema a causa del quale vengono eseguiti inutilmente passaggi di sincronizzazione completa dopo l'aggiornamento. In generale, l'esecuzione di questi passaggi è necessaria dopo l'aggiornamento in caso di modifiche alle regole di sincronizzazione predefinite. Il problema è dovuto a un errore nella logica di rilevamento delle modifiche che individua erroneamente una modifica se un'espressione di una regola di sincronizzazione include caratteri di nuova riga. Questi caratteri vengono inseriti nelle espressioni delle regole di sincronizzazione per favorire la leggibilità.
- È stato risolto un problema che causava il mancato funzionamento del server Microsoft Entra Connessione dopo l'aggiornamento automatico. Questo problema interessa i server di Microsoft Entra Connessione con la versione 1.1.443.0 (o precedente). Per informazioni dettagliate sul problema, vedere l'articolo Microsoft Entra Connessione non funziona correttamente dopo un aggiornamento automatico.
- È stato risolto un problema che può causare la ripetizione del tentativo di aggiornamento automatico ogni 5 minuti quando vengono rilevati errori. Con la correzione, in caso di errori, il tentativo di aggiornamento automatico viene ripetuto con una frequenza esponenziale.
- È stato risolto un problema a causa del quale l'evento di sincronizzazione password 611 non è visualizzato in modo corretto nei log eventi applicazioni di Windows e risulta come evento informativo anziché come errore. L'evento 611 viene generato ogni volta che un problema di sincronizzazione password viene rilevato.
- È stato risolto un problema nella procedura guidata di Microsoft Entra Connessione che consente l'abilitazione della funzionalità writeback del gruppo senza selezionare un'unità organizzativa necessaria per il writeback del gruppo.
Miglioramenti e nuove funzionalità
- Aggiunta di un'attività Di risoluzione dei problemi a Microsoft Entra Connessione procedura guidata in Attività aggiuntive. I clienti possono usare questa attività per risolvere i problemi relativi alla sincronizzazione delle password e raccogliere dati di diagnostica generali. In futuro l'attività di risoluzione dei problemi verrà estesa in modo da includere altri problemi relativi alla sincronizzazione delle directory.
- Microsoft Entra Connessione ora supporta una nuova modalità di installazione denominata Usa database esistente. Questa modalità di installazione consente ai clienti di installare Microsoft Entra Connessione che specifica un database ADSync esistente. Per altre informazioni su questa funzionalità, vedere l'articolo Installare Azure AD Connect usando un database ADSync esistente.
- Per una maggiore sicurezza, Microsoft Entra Connessione ora usa TLS1.2 per connettersi all'ID di Microsoft Entra per la sincronizzazione della directory. Nelle versioni precedenti, per impostazione predefinita viene usato TLS 1.0.
- Quando Microsoft Entra Connessione l'agente di sincronizzazione delle password viene avviato, tenta di connettersi all'endpoint noto di Microsoft Entra per la sincronizzazione delle password. Al termine della connessione, viene reindirizzato a un endpoint specifico dell'area. In precedenza, l'agente di sincronizzazione password memorizza nella cache l'endpoint specifico dell'area fino al riavvio. Nella versione corrente l'agente cancella il contenuto della cache e riprova a connettersi all'endpoint noto se riscontra un problema di connessione con l'endpoint specifico dell'area. Questa modifica consente il failover della sincronizzazione delle password in un altro endpoint specifico dell'area quando quello memorizzato nella cache non è più disponibile.
- Per sincronizzare le modifiche da una foresta locale di Active Directory è necessario un account di Active Directory Domain Services. È possibile creare manualmente l'account di Active Directory Domain Services e fornire le credenziali a Microsoft Entra Connessione oppure (ii) fornire le credenziali di un Amministrazione Enterprise e consentire a Microsoft Entra Connessione creare automaticamente l'account di Active Directory Domain Services. In precedenza, (i) è l'opzione predefinita nella procedura guidata di Microsoft Entra Connessione. mentre nella versione corrente è la (ii).
Microsoft Entra Connect Health
Miglioramenti e nuove funzionalità
- È stato aggiunto il supporto per il cloud di Microsoft Azure per enti pubblici e Microsoft Cloud Germany.
Gestione di ADFS
Problemi risolti
- Nelle versioni precedenti il cmdlet Initialize-ADSyncNGCKeysWriteBack nel modulo ADPrep di PowerShell applica erroneamente gli ACL al contenitore di registrazione del dispositivo e pertanto eredita solo le autorizzazioni esistenti. Questo problema è stato risolto in modo che l'account del servizio di sincronizzazione disponga delle autorizzazioni corrette.
Miglioramenti e nuove funzionalità
- L'attività Verifica accesso ADFS di Microsoft Entra Connessione è stata aggiornata in modo che verifichi gli accessi in Microsoft Online e non solo il recupero di token da ADFS.
- Quando si configura una nuova farm ADFS utilizzando Microsoft Entra Connessione, la pagina che richiede le credenziali ADFS è stata spostata in modo che si verifichi ora prima che all'utente venga chiesto di fornire server ADFS e WAP. Ciò consente a Microsoft Entra Connessione di verificare che l'account specificato disponga delle autorizzazioni corrette.
- Durante l'aggiornamento di Microsoft Entra Connessione, non viene più eseguito un aggiornamento se l'attendibilità microsoft entra ID di ADFS non riesce ad eseguire l'aggiornamento. In tal caso, l'utente visualizzerà un messaggio di avviso appropriato e dovrà procedere con la reimpostazione dell'attendibilità tramite Microsoft Entra Connessione'attività aggiuntiva.
Accesso Single Sign-on facile
Problemi risolti
- È stato risolto un problema che causava la restituzione di un errore durante la procedura guidata di Microsoft Entra Connessione se si tenta di abilitare l'accesso Single Sign-On facile. Il messaggio di errore è "Configurazione di Microsoft Entra Connessione Authentication Agent non riuscita". Questo problema riguarda i clienti esistenti che hanno aggiornato manualmente la versione di anteprima degli agenti di autenticazione per l'autenticazione pass-through in base ai passaggi descritti in questo articolo.
1.1.561.0
Stato: 23 luglio 2017
Microsoft Entra Connect
Problema risolto
È stato risolto un problema che causava la rimozione della regola di sincronizzazione predefinita "Uscita ad Active Directory - Utente ImmutableId":
Il problema si verifica quando microsoft Entra Connessione viene aggiornato o quando viene usata l'opzione Di sincronizzazione degli aggiornamenti nella configurazione guidata di Microsoft Entra Connessione per aggiornare la configurazione della sincronizzazione di Microsoft Entra Connessione.
Questa regola di sincronizzazione è applicabile ai clienti che hanno attivato la funzione ms-DS-ConsistencyGuid come ancoraggio di origine. Questa funzione è stata introdotta nella versione 1.1.524.0 e successive. Quando la regola di sincronizzazione viene rimossa, Microsoft Entra Connessione non può più popolare l'attributo AD ms-DS-ConsistencyGuid locale con il valore dell'attributo ObjectGuid. Non impedisce il provisioning di nuovi utenti in Microsoft Entra ID.
La correzione assicura che la regola di sincronizzazione non venga più rimossa durante l'aggiornamento o durante la modifica della configurazione, purché la funzione sia abilitata. Per i clienti esistenti interessati da questo problema, la correzione garantisce anche che la regola di sincronizzazione venga aggiunta di nuovo dopo l'aggiornamento a questa versione di Microsoft Entra Connessione.
È stato risolto un problema che imposta la precedenza delle regole di sincronizzazione predefinite a un valore minore di 100:
in generale, i valori di priorità 0 - 99 sono riservati alle regole di sincronizzazione personalizzate. Durante l'aggiornamento, vengono aggiornati i valori di precedenza delle regole di sincronizzazione predefinite per implementare le modifiche alle regole di sincronizzazione. A causa di questo problema, può essere assegnato un valore di precedenza alle regole di sincronizzazione predefinite minore di 100.
La correzione impedisce che il problema si verifichi durante l'aggiornamento. Tuttavia, non ripristina i valori di precedenza per i clienti esistenti interessati dal problema. Verrà fornita in futuro una correzione separata per facilitare il ripristino.
È stato risolto un problema a causa del quale la schermata Filtro unità organizzativa e dominio nella procedura guidata di Microsoft Entra Connessione mostra l'opzione Sincronizza tutti i domini e le UNITÀ organizzative come selezionato, anche se il filtro basato su unità organizzative è abilitato.
È stato risolto un problema che causava la comparsa di un errore nella schermata Configura partizioni di Directory all’interno del Synchronization Service Manager quando si faceva clic sul pulsante Aggiorna. Il messaggio di errore è "Errore durante l'aggiornamento dei domini: Impossibile eseguire il cast dell'oggetto di tipo 'System.Collections.ArrayList' per digitare "Microsoft.DirectoryServices.MetadirectoryServices.UI.PropertySheetBase.MaPropertyPages.PartitionObject". L'errore si verifica quando il nuovo dominio di Active Directory è stato aggiunto a una foresta di Active Directory esistente e si sta tentando di aggiornare Microsoft Entra Connessione usando il pulsante Aggiorna.
Miglioramenti e nuove funzionalità
- La funzionalità di aggiornamento automatico è stata ampliata per supportare i clienti con le seguenti configurazioni:
- È stata abilitata la funzionalità di writeback dei dispositivi.
- È stata abilitata la funzionalità di writeback dei gruppi.
- L'installazione non è un'impostazione Rapida o un aggiornamento di DirSync.
- Il metaverse include più di 100.000 oggetti.
- ci si connette a più foreste. L'installazione rapida si connette a una sola foresta.
- L'account di Connessione or di AD non è più l'account predefinito di Microsoft Graph PowerShell.
- Il server è in modalità di staging.
- È stata abilitata la funzionalità di writeback degli utenti.
Nota
L'espansione dell'ambito della funzionalità di aggiornamento automatico interessa i clienti con Microsoft Entra Connessione build 1.1.105.0 e successive. Se non si vuole che il server Microsoft Entra Connessione venga aggiornato automaticamente, è necessario eseguire il cmdlet seguente nel server Microsoft Entra Connessione: Set-ADSyncAutoUpgrade -AutoUpgradeState disabled
. Per altre informazioni sull'abilitazione/disabilitazione dell'aggiornamento automatico, vedere l'articolo Microsoft Entra Connessione: Aggiornamento automatico.
1.1.558.0
Stato: non verrà rilasciato. Le modifiche apportate a questa build sono incluse nella versione 1.1.561.0.
Microsoft Entra Connect
Problema risolto
È stato risolto un problema che causava la rimozione della regola di sincronizzazione predefinita "Uscita ad Active Directory - Utente ImmutableId" in caso di aggiornamento della configurazione del filtro basato sulle unità organizzative. Questa regola di sincronizzazione è richiesta per la funzione ms-DS-ConsistencyGuid come ancoraggio di origine.
È stato risolto un problema a causa del quale la schermata Filtro unità organizzativa e dominio nella procedura guidata di Microsoft Entra Connessione mostra l'opzione Sincronizza tutti i domini e le UNITÀ organizzative come selezionato, anche se il filtro basato su unità organizzative è abilitato.
È stato risolto un problema che causava la comparsa di un errore nella schermata Configura partizioni di Directory all’interno del Synchronization Service Manager quando si faceva clic sul pulsante Aggiorna. Il messaggio di errore è "Errore durante l'aggiornamento dei domini: Impossibile eseguire il cast dell'oggetto di tipo 'System.Collections.ArrayList' per digitare "Microsoft.DirectoryServices.MetadirectoryServices.UI.PropertySheetBase.MaPropertyPages.PartitionObject". L'errore si verifica quando il nuovo dominio di Active Directory è stato aggiunto a una foresta di Active Directory esistente e si sta tentando di aggiornare Microsoft Entra Connessione usando il pulsante Aggiorna.
Miglioramenti e nuove funzionalità
- La funzionalità di aggiornamento automatico è stata ampliata per supportare i clienti con le seguenti configurazioni:
- È stata abilitata la funzionalità di writeback dei dispositivi.
- È stata abilitata la funzionalità di writeback dei gruppi.
- L'installazione non è un'impostazione Rapida o un aggiornamento di DirSync.
- Il metaverse include più di 100.000 oggetti.
- ci si connette a più foreste. L'installazione rapida si connette a una sola foresta.
- L'account di Connessione or di AD non è più l'account predefinito di Microsoft Graph PowerShell.
- Il server è in modalità di staging.
- È stata abilitata la funzionalità di writeback degli utenti.
Nota
L'espansione dell'ambito della funzionalità di aggiornamento automatico interessa i clienti con Microsoft Entra Connessione build 1.1.105.0 e successive. Se non si vuole che il server Microsoft Entra Connessione venga aggiornato automaticamente, è necessario eseguire il cmdlet seguente nel server Microsoft Entra Connessione: Set-ADSyncAutoUpgrade -AutoUpgradeState disabled
. Per altre informazioni sull'abilitazione/disabilitazione dell'aggiornamento automatico, vedere l'articolo Microsoft Entra Connessione: Aggiornamento automatico.
1.1.557.0
Stato: luglio 2017
Nota
Questa compilazione non è disponibile per i clienti tramite la funzionalità Di aggiornamento automatico di Microsoft Entra Connessione.
Microsoft Entra Connect
Problema risolto
- È stato risolto un problema relativo al cmdlet Initialize-ADSyncDomainJoinedComputerSync che causava la modifica del dominio verificato nell'oggetto punto di connessione del servizio esistente anche se è ancora un dominio valido. Questo problema si verifica quando il tenant di Microsoft Entra dispone di più domini verificati che possono essere usati per configurare il punto di connessione del servizio.
Miglioramenti e nuove funzionalità
Il writeback delle password è ora disponibile per l'anteprima con il cloud di Microsoft Azure per enti pubblici e Microsoft Cloud Germany. Per altre informazioni sul supporto di Microsoft Entra Connessione per le diverse istanze del servizio, vedere l'articolo Microsoft Entra Connessione: Considerazioni speciali per le istanze.
Il cmdlet Initialize-ADSyncDomainJoinedComputerSync include ora un nuovo parametro facoltativo denominato AzureADDomain che consente di specificare il dominio verificato da usare per configurare il punto di connessione del servizio.
Autenticazione pass-through
Miglioramenti e nuove funzionalità
Il nome dell'agente necessario per l'autenticazione pass-through è stato modificato da Microsoft Entra private network connector a Microsoft Entra Connessione Authentication Agent.
Quando si abilita l'autenticazione pass-through, la sincronizzazione degli hash delle password non viene più abilitata per impostazione predefinita.
1.1.553.0
Stato: giugno 2017
Importante
Questa build introduce modifiche alle regole dello schema e della sincronizzazione. Microsoft Entra Connessione servizio di sincronizzazione attiverà i passaggi di importazione completa e sincronizzazione completa dopo l'aggiornamento. Di seguito vengono descritti i dettagli delle modifiche. Per rinviare temporaneamente i passaggi di importazione e sincronizzazione completa dopo l'aggiornamento, vedere l'articolo How to defer full synchronization after upgrade (Come rinviare la sincronizzazione completa dopo l'aggiornamento).
Microsoft Entra Connect Sync
Problema noto
- Si è verificato un problema che interessa i clienti che usano filtri basati su unità organizzative con Microsoft Entra Connessione Sync. Quando si passa alla pagina Filtro unità organizzativa e dominio nella procedura guidata microsoft Entra Connessione, è previsto il comportamento seguente:
- Se il filtro basato su unità organizzativa è abilitato, è selezionata l'opzione Sincronizza le unità organizzative e i domini selezionati.
- In caso contrario, è selezionata l'opzione Sincronizza tutti i domini e le unità organizzative.
A causa del problema, l'opzione Sincronizza tutti i domini e le unità organizzative rimane sempre selezionata quando si esegue la procedura guidata. Ciò si verifica anche se in precedenza è stato configurato il filtro basato su unità organizzativa. Prima di salvare tutte le modifiche di configurazione di Microsoft Entra Connessione, assicurarsi che l'opzione Sincronizza domini e unità organizzative selezionate sia selezionata e verificare che tutte le unità organizzative che devono essere sincronizzate siano nuovamente abilitate. In caso contrario, il filtro basato su unità organizzativa verrà disabilitato.
Problemi risolti
È stato risolto un problema relativo al writeback delle password che consente a microsoft Entra Amministrazione istrator di reimpostare la password di un account utente con privilegi DI AD locale. Il problema si verifica quando a Microsoft Entra Connessione viene concessa l'autorizzazione Reimposta password sull'account con privilegi. Il problema viene risolto in questa versione di Microsoft Entra Connessione non consentendo a microsoft Entra Amministrazione istrator di reimpostare la password di un account utente con privilegi DI AD locale arbitrario, a meno che l'amministratore non sia il proprietario di tale account. Per altre informazioni, vedere Security Advisory 4033453 (Avviso di sicurezza 4033453).
È stato risolto un problema correlato alla funzionalità ms-DS-ConsistencyGuid come ancoraggio di origine in cui Microsoft Entra Connessione non esegue il writeback nell'attributo ms-DS-ConsistencyGuid di AD locale. Il problema si verifica quando sono presenti più foreste AD locali aggiunte a Microsoft Entra Connessione e l'opzione Identità utente esiste tra più directory è selezionata. Quando viene usata questa configurazione, le regole di sincronizzazione risultanti non popolano l'attributo sourceAnchorBinary nel Metaverse. L'attributo sourceAnchorBinary viene usato come origine per l'attributo ms-DS-ConsistencyGuid. Di conseguenza, il writeback nell'attributo ms-DSConsistencyGuid non si verifica. Per risolvere il problema, le regole di sincronizzazione seguenti sono state aggiornate in modo da garantire che l'attributo sourceAnchorBinary nel metaverse sia sempre popolato:
In from AD - InetOrgPerson AccountEnabled.xml
In from AD - InetOrgPerson Common.xml
In from AD - User AccountEnabled.xml
In from AD - User Common.xml
In from AD - User Join SOAInAAD.xml
In precedenza, anche se la funzionalità ms-DS-ConsistencyGuid come ancoraggio di origine non è abilitata, la regola di sincronizzazione "Out to AD – User ImmutableId" viene comunque aggiunta a Microsoft Entra Connessione. L'effetto non è dannoso e non causa il writeback dell'attributo ms-DS-ConsistencyGuid. Per evitare confusione, è stata introdotta la logica per garantire che la regola di sincronizzazione venga aggiunta solo quando la funzionalità è abilitata.
È stato risolto un problema che non consente la sincronizzazione degli hash delle password generando l'evento di errore 611. Questo problema si verifica dopo che uno o più controller di dominio sono stati rimossi dall'istanza di AD locale. Alla fine di ogni ciclo di sincronizzazione delle password, il cookie di sincronizzazione emesso dall'istanza di AD locale contiene gli ID di chiamata dei controller di dominio rimossi con numero di sequenza di aggiornamento (USN) pari a 0. Gestione sincronizzazione password non è in grado di salvare in modo permanente il cookie di sincronizzazione contenente il valore USN 0 e quindi la sincronizzazione non riesce con evento di errore 611. Durante il ciclo di sincronizzazione successivo, Gestione sincronizzazione password riutilizza l'ultimo cookie di sincronizzazione persistente che non contiene il valore USN pari a 0. In questo modo vengono sincronizzate nuovamente le stesse modifiche alle password. Con questa correzione, Gestione sincronizzazione password salva correttamente il cookie di sincronizzazione in modo permanente.
Nelle versioni precedenti, anche se l'aggiornamento automatico è stato disabilitato tramite il cmdlet Set-ADSyncAutoUpgrade, il processo di aggiornamento automatico continua a verificare periodicamente la presenza di aggiornamenti e si basa sul programma di installazione scaricato per rispettare lo stato di disabilitazione. Con questa correzione, il processo di aggiornamento automatico non esegue più il controllo periodico degli aggiornamenti. La correzione viene applicata automaticamente quando il programma di installazione dell'aggiornamento per questa versione di Microsoft Entra Connessione viene eseguita una sola volta.
Miglioramenti e nuove funzionalità
Nelle versioni precedenti la funzionalità ms-DS-ConsistencyGuid come sourceAnchor è disponibile solo per le nuove distribuzioni. È ora disponibile per le distribuzioni esistenti. In particolare:
Per accedere alla funzionalità, avviare la procedura guidata microsoft Entra Connessione e scegliere l'opzione Aggiorna ancoraggio origine.
Questa opzione è visibile solo per le distribuzioni esistenti che usano objectGuid come attributo sourceAnchor.
Quando si configura l'opzione, la procedura guidata controlla lo stato dell'attributo ms-DS-ConsistencyGuid nell'istanza di Active Directory locale. Se l'attributo non è configurato in nessun oggetto utente nella directory, la procedura usa l'attributo ms-DS-ConsistencyGuid come attributo sourceAnchor. Se l'attributo è configurato su uno o più oggetti utente nella directory, la procedura guidata conclude che l'attributo viene usato da altre applicazioni e non è adatto come attributo sourceAnchor e non consente la modifica dell'ancoraggio di origine per continuare. Se si è certi che l'attributo non viene usato dalle applicazioni esistenti, è necessario contattare il supporto tecnico per informazioni su come eliminare l'errore.
Specifico dell'attributo userCertificate negli oggetti Device, Microsoft Entra Connessione ora cerca i valori dei certificati necessari per Connessione inging dei dispositivi aggiunti a un dominio all'esperienza Microsoft Entra ID per Windows 10 e filtra il resto prima della sincronizzazione con Microsoft Entra ID. Per abilitare questo comportamento, la regola di sincronizzazione predefinita "Out to Microsoft Entra ID - Device Join SOAInAD" è stata aggiornata.
Microsoft Entra Connessione supporta ora il writeback dell'attributo cloudPublicDelegates di Exchange Online all'attributo publicDelegates AD locale. Per effetto di questo aggiornamento, in una cassetta postale di Exchange Online possono essere concessi i diritti SendOnBehalfTo agli utenti con cassette postali di Exchange locali. Per supportare questa funzionalità, è stata introdotta una nuova regola di sincronizzazione predefinita "Out to AD - User Exchange Hybrid PublicDelegates writeback". Questa regola di sincronizzazione viene aggiunta solo a Microsoft Entra Connessione quando la funzionalità ibrida di Exchange è abilitata.
Microsoft Entra Connessione ora supporta la sincronizzazione dell'attributo altRecipient da Microsoft Entra ID. Per supportare questa modifica, sono state aggiornate le regole di sincronizzazione predefinite seguenti in modo da includere il flusso di attributi necessario:
In from AD – User Exchange
Out to Microsoft Entra ID – User ExchangeOnline
L'attributo cloudSOAExchMailbox nel metaverse indica se un determinato utente dispone di una cassetta postale di Exchange Online. La relativa definizione è stata aggiornata in modo da includere altri RecipientDisplayTypes di Exchange Online come cassette postali di sala conferenze e attrezzature. Per abilitare questa modifica, la definizione dell'attributo cloudSOAExchMailbox, disponibile nella regola di sincronizzazione predefinita "In from Microsoft Entra ID – User Exchange Hybrid", è stata aggiornata da:
CBool(IIF(IsNullOrEmpty([cloudMSExchRecipientDisplayType]),NULL,BitAnd([cloudMSExchRecipientDisplayType],&HFF) = 0))
... a:
CBool( IIF(IsPresent([cloudMSExchRecipientDisplayType]),( IIF([cloudMSExchRecipientDisplayType]=0,True,( IIF([cloudMSExchRecipientDisplayType]=2,True,( IIF([cloudMSExchRecipientDisplayType]=7,True,( IIF([cloudMSExchRecipientDisplayType]=8,True,( IIF([cloudMSExchRecipientDisplayType]=10,True,( IIF([cloudMSExchRecipientDisplayType]=16,True,( IIF([cloudMSExchRecipientDisplayType]=17,True,( IIF([cloudMSExchRecipientDisplayType]=18,True,( IIF([cloudMSExchRecipientDisplayType]=1073741824,True,( IF([cloudMSExchRecipientDisplayType]=1073741840,True,False)))))))))))))))))))),False))
È stato aggiunto il set seguente di funzioni compatibili con X509Certificate2 per la creazione di espressioni di regole di sincronizzazione per gestire i valori di certificato nell'attributo userCertificate:
CertSubject
CertIssuer
CertKeyAlgorithm
CertSubjectNameDN
CertIssuerOid
CertNameInfo
CertSubjectNameOid
CertIssuerDN
IsCert
CertFriendlyName
CertThumbprint
CertExtensionOids
CertFormat
CertNotAfter
CertPublicKeyOid
CertSerialNumber
CertNotBefore
CertPublicKeyParametersOid
CertVersion
CertSignatureAlgorithmOid
Seleziona
CertKeyAlgorithmParams
CertHashString
Dove
With
Le modifiche seguenti dello schema sono state introdotte per consentire ai clienti di creare regole di sincronizzazione personalizzate per includere nel flusso gli attributi sAMAccountName, domainNetBios e domainFQDN per gli oggetti gruppo e l'attributo distinguishedName per gli oggetti utente:
Gli attributi seguenti sono stati aggiunti allo schema Metaverse:
Group: AccountName
Group: domainNetBios
Group: domainFQDN
Person: distinguishedName
Gli attributi seguenti sono stati aggiunti allo schema di Microsoft Entra Connessione or:
Group: OnPremisesSamAccountName
Group: NetBiosName
Group: DnsDomainName
User: OnPremisesDistinguishedName
Lo script del cmdlet ADSyncDomainJoinedComputerSync include ora un nuovo parametro facoltativo denominato AzureEnvironment. Il parametro viene usato per specificare l'area in cui è ospitato il tenant Microsoft Entra corrispondente. I valori validi includono:
AzureCloud (predefinito)
AzureChinaCloud
AzureGermanyCloud
USGovernment
L'editor delle regole di sincronizzazione è stato aggiornato in modo da usare Join (anziché Provision) come valore predefinito del tipo di collegamento durante la creazione di regole di sincronizzazione.
Gestione di AD FS.
Problemi risolti
Gli URL seguenti sono nuovi endpoint WS-Federation introdotti da Microsoft Entra ID per migliorare la resilienza contro l'interruzione dell'autenticazione e verranno aggiunti alla configurazione dell'attendibilità dell'entità di risposta ad AD FS locale:
https://ests.login.microsoftonline.com/login.srf
https://stamp2.login.microsoftonline.com/login.srf
È stato risolto un problema a causa del quale AD FS genera un valore di attestazione non corretto per IssuerID. Il problema si verifica se nel tenant di Microsoft Entra sono presenti più domini verificati e il suffisso di dominio dell'attributo userPrincipalName usato per generare l'attestazione IssuerID è di almeno 3 livelli (ad esempio, johndoe@us.contoso.com). Il problema viene risolto aggiornando l'espressione regolare usata dalle regole di attestazione.
Miglioramenti e nuove funzionalità
- In precedenza, la funzionalità di gestione dei certificati ADFS fornita da Microsoft Entra Connessione può essere usata solo con farm ADFS gestite tramite Microsoft Entra Connessione. È ora possibile usare la funzionalità con farm ADFS non gestite tramite Microsoft Entra Connessione.
1.1.524.0
Data di rilascio: maggio 2017
Importante
Questa build introduce modifiche alle regole dello schema e della sincronizzazione. Microsoft Entra Connessione servizio di sincronizzazione attiverà i passaggi di importazione completa e sincronizzazione completa dopo l'aggiornamento. Di seguito vengono descritti i dettagli delle modifiche.
Problemi risolti:
Microsoft Entra Connect Sync
- È stato risolto un problema che causava l'aggiornamento automatico nel server Microsoft Entra Connessione anche se il cliente ha disabilitato la funzionalità usando il cmdlet Set-ADSyncAutoUpgrade. Con questa correzione, il processo di aggiornamento automatico sul server controlla periodicamente la presenza di aggiornamenti, ma il programma di installazione scaricato rispetta la configurazione di Aggiornamento automatico.
- Durante l'aggiornamento sul posto di DirSync, Microsoft Entra Connessione crea un account del servizio Microsoft Entra da usare dal connettore Microsoft Entra per la sincronizzazione con Microsoft Entra ID. Dopo aver creato l'account, Microsoft Entra Connessione esegue l'autenticazione con Microsoft Entra ID usando l'account. In alcuni casi, l'autenticazione non riesce a causa di problemi temporanei, che a sua volta causano l'esito negativo dell'aggiornamento sul posto di DirSync con errore "Si è verificato un errore durante l'esecuzione dell'attività Configura Sincronizzazione Azure AD: AADSTS50034: per accedere a questa applicazione, l'account deve essere aggiunto alla directory xxx.onmicrosoft.com". Per migliorare la resilienza dell'aggiornamento di DirSync, Microsoft Entra Connessione ora ritenta il passaggio di autenticazione.
- Si è verificato un problema con la build 443 che causa l'esito positivo dell'aggiornamento sul posto di DirSync, ma i profili di esecuzione necessari per la sincronizzazione della directory non vengono creati. La logica di correzione è inclusa in questa build di Microsoft Entra Connessione. Quando il cliente esegue l'aggiornamento a questa build, Microsoft Entra Connessione rileva i profili di esecuzione mancanti e li crea.
- È stato risolto il problema che non consente la riuscita del processo di sincronizzazione delle password di avvio con ID evento 6900. Viene visualizzato l'errore "È già stato aggiunto un elemento con la stessa chiave". Questo problema si verifica quando si aggiorna la configurazione del filtro dell'unità organizzativa per includere una partizione di configurazione di AD. Per risolvere il problema, il processo di sincronizzazione delle password ora sincronizza le modifiche delle password solo dalle partizioni di dominio di AD. Le partizioni non di dominio, come la partizione di configurazione, vengono ignorate.
- Durante l'installazione rapida, Microsoft Entra Connessione crea un account di Active Directory Domain Services locale da usare dal connettore di Active Directory per comunicare con ACTIVE Directory locale. In precedenza, veniva creato l'account con il flag PASSWD_NOTREQD impostato sull'attributo user-Account-Control e veniva impostata una password casuale per l'account. Ora, Microsoft Entra Connessione rimuove in modo esplicito il flag PASSWD_NOTREQD dopo l'impostazione della password nell'account.
- È stato risolto un problema che causava l'esito negativo dell'aggiornamento di DirSync con l'errore "si è verificato un deadlock in SQL Server che tenta di acquisire un blocco dell'applicazione" quando l'attributo mailNickname viene trovato nello schema di ACTIVE Directory locale, ma non è associato alla classe di oggetti Utente di Active Directory.
- È stato risolto un problema che causava la disabilitazione automatica della funzionalità di writeback del dispositivo quando un amministratore aggiorna la configurazione di Microsoft Entra Connessione Sync tramite la procedura guidata di Microsoft Entra Connessione. Il problema è causato dalla procedura guidata che esegue una verifica dei prerequisiti della configurazione della funzione Writeback dispositivi esistente in AD locale. La verifica ha esito negativo. La correzione ignora la verifica se Writeback dispositivi è stata abilitata in precedenza.
- Per configurare il filtro delle unità organizzative, è possibile usare la procedura guidata microsoft Entra Connessione o Synchronization Service Manager. In precedenza, se si usa la procedura guidata microsoft Entra Connessione per configurare il filtro delle unità organizzative, verranno incluse nuove unità organizzative create in seguito per la sincronizzazione della directory. Se non si desidera includere nuove unità organizzative, è necessario configurare il filtro unità organizzativa usando Synchronization Service Manager. È ora possibile ottenere lo stesso comportamento usando la procedura guidata di Microsoft Entra Connessione.
- È stato risolto un problema che causa la creazione di stored procedure richieste da Microsoft Entra Connessione nello schema dell'amministratore di installazione, anziché nello schema dbo.
- Correzione di un problema che causa l'omissione dell'attributo TrackingId restituito dall'ID Entra di Microsoft nei registri eventi di Microsoft Entra Connessione Server. Il problema si verifica se Microsoft Entra Connessione riceve un messaggio di reindirizzamento da Microsoft Entra ID e Microsoft Entra Connessione non è in grado di connettersi all'endpoint fornito. TrackingId viene usato dal personale del supporto tecnico per la correlazione con i log sul lato servizio durante la risoluzione dei problemi.
- Quando Microsoft Entra Connessione riceve l'errore LargeObject da Microsoft Entra ID, Microsoft Entra Connessione genera un evento con EventID 6941 e messaggio "L'oggetto di cui è stato effettuato il provisioning è troppo grande. Tagliare il numero di valori di attributo su questo oggetto." Allo stesso tempo, Microsoft Entra Connessione genera anche un evento fuorviante con EventID 6900 e il messaggio "Microsoft.Online.Coexistence.ProvisionRetryException: Impossibile comunicare con il servizio Windows Azure Active Directory". Per ridurre al minimo la confusione, Microsoft Entra Connessione non genera più l'ultimo evento quando viene ricevuto l'errore LargeObject.
- È stato risolto il problema di Synchronization Service Manager che non risponde durante il tentativo di aggiornamento della configurazione del connettore LDAP generico.
Nuove funzionalità o miglioramenti:
Microsoft Entra Connect Sync
Modifiche alle regole di sincronizzazione. Sono state implementate le modifiche alle regole di sincronizzazione seguenti:
È stata aggiornata la regola di sincronizzazione predefinita affinché non esporti gli attributi userCertificate e userSMIMECertificate se gli attributi hanno più di 15 valori.
Gli attributi di AD employeeID e msExchBypassModerationLink sono ora inclusi nel set di regole di sincronizzazione predefinito.
L'attributo di AD photo è stato rimosso dal set di regole di sincronizzazione predefinito.
Aggiunta di preferredDataLocation allo schema Metaverse e allo schema di Microsoft Entra Connessione or. I clienti che vogliono aggiornare entrambi gli attributi in Microsoft Entra ID possono implementare regole di sincronizzazione personalizzate a tale scopo.
Aggiunta di userType allo schema Metaverse e allo schema di Microsoft Entra Connessione or. I clienti che vogliono aggiornare entrambi gli attributi in Microsoft Entra ID possono implementare regole di sincronizzazione personalizzate a tale scopo.
Microsoft Entra Connessione ora abilita automaticamente l'uso dell'attributo ConsistencyGuid come attributo di ancoraggio di origine per gli oggetti AD locali. Inoltre, Microsoft Entra Connessione popola l'attributo ConsistencyGuid con il valore dell'attributo objectGuid se è vuoto. Questa funzionalità è applicabile soltanto alla nuova distribuzione. Per altre informazioni su questa funzionalità, vedere la sezione dell'articolo Microsoft Entra Connessione: Concetti di progettazione - Uso di ms-DS-ConsistencyGuid come sourceAnchor.
È stato aggiunto il nuovo cmdlet di risoluzione dei problemi Invoke-ADSyncDiagnostics. Il cmdlet facilita la diagnosi dei problemi relativi alla sincronizzazione dell'hash delle password. Per informazioni sull'uso del cmdlet, vedere l'articolo Risolvere i problemi di sincronizzazione dell'hash delle password con Microsoft Entra Connessione Sync.
Microsoft Entra Connessione supporta ora la sincronizzazione degli oggetti Cartella pubblica abilitata per la posta elettronica da AD locale a Microsoft Entra ID. È possibile abilitare la funzionalità usando la procedura guidata di Microsoft Entra Connessione in Funzionalità facoltative. Per altre informazioni su questa funzionalità, vedere l'articolo Office 365 Directory Based Edge Blocking support for on-premises Mail Enabled Public Folders (Supporto del blocco Edge basato sulla directory di Office 365 per le cartelle pubbliche abilitate alla posta elettronica in locale).
Microsoft Entra Connessione richiede un account di Active Directory Domain Services per la sincronizzazione da ACTIVE Directory locale. In precedenza, se è stato installato Microsoft Entra Connessione usando la modalità Express, è possibile specificare le credenziali di un account Enterprise Amministrazione e Microsoft Entra Connessione creerebbe l'account di Active Directory Domain Services necessario. Tuttavia, per le installazioni personalizzate e per l'aggiunta di foreste a una distribuzione esistente, era necessario invece fornire l'account Active Directory Domain Services. A questo punto, è anche possibile specificare le credenziali di un account enterprise Amministrazione durante un'installazione personalizzata e consentire a Microsoft Entra Connessione creare l'account di Active Directory Domain Services necessario.
Microsoft Entra Connessione ora supporta SQL AOA. È necessario abilitare SQL AOA prima di installare Microsoft Entra Connessione. Durante l'installazione, Microsoft Entra Connessione rileva se l'istanza di SQL fornita è abilitata per SQL AOA o meno. Se SQL AOA è abilitato, Microsoft Entra Connessione determinare ulteriormente se SQL AOA è configurato per l'uso della replica sincrona o della replica asincrona. Quando si configura il listener del gruppo di disponibilità, è consigliabile impostare la proprietà RegisterAllProvidersIP su 0. Questo consiglio è dovuto al fatto che Microsoft Entra Connessione attualmente usa SQL Native Client per connettersi a SQL e SQL Native Client non supporta l'uso della proprietà MultiSubNetFailover.
Se si usa Local DB come database per il server Microsoft Entra Connessione e ha raggiunto il limite di dimensioni di 10 GB, il servizio di sincronizzazione non viene più avviato. In precedenza, era necessario eseguire l'operazione ShrinkDatabase su LocalDB per recuperare lo spazio sufficiente per l'avvio del servizio di sincronizzazione. Dopo questa operazione, era possibile usare Synchronization Service Manager per eliminare la cronologia dell'esecuzione e recuperare spazio per il database. Ora è possibile usare il cmdlet ADSyncPurgeRunHistory per eseguire la pulizia dei dati della cronologia di esecuzione da LocalDB e recuperare spazio per il database. Inoltre, questo cmdlet supporta una modalità offline (specificando il parametro -offline) che può essere usata quando il servizio di sincronizzazione non è in esecuzione. Nota: la modalità offline può essere usata solo se il servizio di sincronizzazione non è in esecuzione e il database usato è Local DB.
Per ridurre la quantità di spazio di archiviazione necessaria, Microsoft Entra Connessione ora comprime i dettagli degli errori di sincronizzazione prima di archiviarli nei database Local DB/SQL. Quando si esegue l'aggiornamento da una versione precedente di Microsoft Entra Connessione a questa versione, Microsoft Entra Connessione esegue una compressione una tantum sui dettagli degli errori di sincronizzazione esistenti.
In precedenza, dopo l'aggiornamento della configurazione del filtro dell'unità organizzativa, era necessario eseguire manualmente l'importazione completa per verificare che gli oggetti esistenti fossero correttamente inclusi/esclusi dalla sincronizzazione della directory. A questo punto, Microsoft Entra Connessione attiva automaticamente l'importazione completa durante il ciclo di sincronizzazione successivo. Inoltre, l'importazione completa viene applicata soltanto ai connettori AD interessati dall'aggiornamento. Nota: questo miglioramento è applicabile solo agli aggiornamenti del filtro delle unità organizzative eseguiti tramite la procedura guidata microsoft Entra Connessione. Non è applicabile all'aggiornamento del filtro delle unità organizzative eseguito tramite Synchronization Service Manager.
In precedenza, il filtro basato sui gruppi supportava soltanto oggetti utenti, gruppi e contatti. Ora il filtro supporta anche gli oggetti computer.
In precedenza, è possibile eliminare Connessione or Space data senza disabilitare Microsoft Entra Connessione Utilità di pianificazione sincronizzazione. Ora Synchronization Service Manager blocca l'eliminazione dei dati nello spazio connettore se rileva che l'utilità di pianificazione è abilitata. Viene inoltre inviato un avviso che informa i clienti di potenziali perdite di dati se i dati nello spazio connettore vengono eliminati.
In precedenza, è necessario disabilitare la trascrizione di PowerShell per l'esecuzione corretta della procedura guidata di Microsoft Entra Connessione. Questo problema è stato risolto parzialmente. È possibile abilitare la trascrizione di PowerShell se si usa microsoft Entra Connessione procedura guidata per gestire la configurazione della sincronizzazione. È necessario disabilitare la trascrizione di PowerShell se si usa la procedura guidata di Microsoft Entra Connessione per gestire la configurazione di ADFS.
1.1.486.0
Data di rilascio: aprile 2017
Problemi risolti:
- È stato risolto il problema per cui Microsoft Entra Connessione non verrà installato correttamente nella versione localizzata di Windows Server.
1.1.484.0
Data di rilascio: aprile 2017
Problemi noti:
- Questa versione di Microsoft Entra Connessione non verrà installata correttamente se le condizioni seguenti sono tutte vere:
- si sta eseguendo l'aggiornamento sul posto di DirSync o l'installazione aggiornata di Microsoft Entra Connessione.
- si usa una versione localizzata di Windows Server in cui il nome del gruppo Amministrazione istrator predefinito nel server non è "Amministrazione istrators".
- si sta usando l'Local DB SQL Server 2012 Express predefinito installato con Microsoft Entra Connessione invece di fornire il proprio SQL completo.
Problemi risolti:
Microsoft Entra Connect Sync
- È stato risolto il problema dell'utilità di pianificazione della sincronizzazione che ignora l'intero passaggio di sincronizzazione se a uno o più connettori manca il profilo di esecuzione della sincronizzazione. Ad esempio, tramite Synchronization Service Manager è stato aggiunto manualmente un connettore per il quale non è stato creato un profilo di importazione delta. Grazie a questa correzione si garantisce che l'utilità di pianificazione della sincronizzazione continui a eseguire l'importazione delta per gli altri connettori.
- È stato risolto un problema per cui il servizio di sincronizzazione interrompe immediatamente l'elaborazione di un profilo di esecuzione quando si verifica un problema con uno dei passaggi di esecuzione. Grazie a questa correzione si garantisce che il servizio di sincronizzazione ignori il passaggio interessato e continui a elaborare il resto. Ad esempio, il profilo d'importazione delta per il connettore di Active Directory contiene più passaggi di esecuzione, uno per ogni dominio locale di Active Directory. Il servizio di sincronizzazione esegue l'importazione delta con gli altri domini di Active Directory anche se uno di essi presenta problemi di connettività di rete.
- È stato risolto un problema che causava l'omissione dell'aggiornamento di Microsoft Entra Connessione or durante l'aggiornamento automatico.
- È stato risolto un problema che causava l'errore di Microsoft Entra Connessione determinare in modo errato se il server è un controller di dominio durante l'installazione, che a sua volta causa l'esito negativo dell'aggiornamento di DirSync.
- È stato risolto un problema che causava l'aggiornamento sul posto di DirSync per non creare alcun profilo di esecuzione per microsoft Entra Connessione or.
- È stato risolto un problema dell'interfaccia utente di Synchronization Service Manager che non risponde durante la configurazione del connettore LDAP generico.
Gestione di AD FS.
- È stato risolto un problema a causa del quale la procedura guidata di Microsoft Entra Connessione ha esito negativo se il nodo primario di AD FS è stato spostato in un altro server.
Desktop SSO
- È stato risolto un problema nella procedura guidata di Microsoft Entra Connessione in cui la schermata di accesso non consente di abilitare la funzionalità SSO desktop se si sceglie Sincronizzazione password come opzione di accesso durante la nuova installazione.
Nuove funzionalità o miglioramenti:
Microsoft Entra Connect Sync
- Microsoft Entra Connessione Sync supporta ora l'uso dell'account del servizio virtuale, dell'account del servizio gestito e dell'account del servizio gestito del gruppo come account del servizio. Questo vale solo per la nuova installazione di Microsoft Entra Connessione. Quando si installa Microsoft Entra Connessione:
- Per impostazione predefinita, microsoft Entra Connessione procedura guidata creerà un account del servizio virtuale e lo userà come account del servizio.
- Se si esegue l'installazione in un controller di dominio, Microsoft Entra Connessione esegue il fallback al comportamento precedente in cui creerà un account utente di dominio e lo userà come account del servizio.
- È possibile sostituire il comportamento predefinito specificando una delle opzioni seguenti:
- Account del servizio gestito del gruppo
- Account del servizio gestito
- Account utente di dominio
- Account utente locale
- In precedenza, se si esegue l'aggiornamento a una nuova build di Microsoft Entra Connessione contenente le modifiche delle regole di sincronizzazione o aggiornamento dei connettori, Microsoft Entra Connessione attiverà un ciclo di sincronizzazione completo. A questo punto, Microsoft Entra Connessione attiva in modo selettivo il passaggio importazione completa solo per i connettori con aggiornamento e il passaggio Sincronizzazione completa solo per i connettori con modifiche alle regole di sincronizzazione.
- In passato la soglia di eliminazione delle esportazioni veniva applicava solo alle esportazioni attivate tramite l'utilità di pianificazione della sincronizzazione. Ora la funzionalità è estesa e include le esportazioni che l'utente ha attivato manualmente tramite Synchronization Service Manager.
- Nel tenant di Microsoft Entra è disponibile una configurazione del servizio che indica se la funzionalità di sincronizzazione delle password è abilitata o meno per il tenant. In precedenza, è facile configurare erroneamente la configurazione del servizio da Parte di Microsoft Entra Connessione quando si dispone di un server attivo e di gestione temporanea. Ora, Microsoft Entra Connessione tenterà di mantenere la configurazione del servizio coerente con il server Microsoft Entra Connessione attivo.
- La procedura guidata di Microsoft Entra Connessione ora rileva e restituisce un avviso se AD locale non è abilitato il Cestino di Active Directory.
- In precedenza, l'esportazione in Microsoft Entra ID raggiunge il timeout e ha esito negativo se la dimensione combinata degli oggetti nel batch supera una determinata soglia. Ora, se si verifica tale problema, il servizio di sincronizzazione tenta di inviare nuovamente gli oggetti in batch più piccoli e separati.
- L'applicazione Synchronization Service Key Management (Gestione delle chiavi del servizio di sincronizzazione) è stata rimossa dal menu Start di Windows. La gestione della chiave di crittografia continua a essere supportata tramite l'interfaccia della riga di comando usando miiskmu.exe. Per informazioni sulla gestione della chiave di crittografia, vedere l'articolo Abbandono della chiave di crittografia di Microsoft Entra Connessione Sync.
- In precedenza, se si modifica la password dell'account del servizio di sincronizzazione di Microsoft Entra Connessione, il servizio di sincronizzazione non sarà in grado di avviarsi correttamente fino a quando non è stata abbandonata la chiave di crittografia e reinizializzato la password dell'account del servizio di sincronizzazione di Microsoft Entra Connessione Sync. Ora, questo processo non è più necessario.
Desktop SSO
- La procedura guidata di Microsoft Entra Connessione non richiede più l'apertura della porta 9090 nella rete durante la configurazione dell'autenticazione pass-through e dell'accesso SSO desktop. È necessaria solo la porta 443.
1.1.443.0
Data di rilascio: marzo 2017
Problemi risolti:
Microsoft Entra Connect Sync
- È stato risolto un problema che causa l'esito negativo della procedura guidata di Microsoft Entra Connessione se il nome visualizzato del Connessione or di Microsoft Entra non contiene il dominio onmicrosoft.com iniziale assegnato al tenant di Microsoft Entra.
- È stato risolto un problema che causava l'esito negativo della procedura guidata di Microsoft Entra Connessione durante la connessione al database SQL quando la password dell'account del servizio di sincronizzazione contiene caratteri speciali, ad esempio apostrofo, due punti e spazio.
- È stato risolto un problema che causava l'errore "L'immagine ha un ancoraggio diverso dall'immagine" in un server di Microsoft Entra Connessione in modalità di gestione temporanea, dopo aver escluso temporaneamente un oggetto AD locale dalla sincronizzazione e quindi includerlo di nuovo per la sincronizzazione.
- È stato risolto un problema che causava l'errore "L'oggetto individuato da DN è fantasma" in un server Microsoft Entra Connessione in modalità di gestione temporanea, dopo aver escluso temporaneamente un oggetto AD locale dalla sincronizzazione e quindi includerlo nuovamente per la sincronizzazione.
Gestione di AD FS.
- È stato risolto un problema per cui la procedura guidata di Microsoft Entra Connessione non aggiorna la configurazione di AD FS e imposta le attestazioni corrette sul trust della relying party dopo la configurazione dell'ID di accesso alternativo.
- È stato risolto un problema per cui la procedura guidata di Microsoft Entra Connessione non è in grado di gestire correttamente i server AD FS i cui account di servizio sono configurati usando il formato userPrincipalName anziché sAMAccountName.
Autenticazione pass-through
- È stato risolto un problema che causava l'esito negativo della procedura guidata di Microsoft Entra Connessione se è selezionata l'autenticazione pass-through ma la registrazione del connettore non riesce.
- È stato risolto un problema che causava l'attivazione della funzionalità SSO di Microsoft Entra Connessione procedura guidata per ignorare i controlli di convalida nel metodo di accesso selezionato quando la funzionalità Desktop SSO è abilitata.
Reimpostazione della password
- È stato risolto un problema che potrebbe causare il tentativo di riconnettersi al server di Connessione Microsoft Entra se la connessione è stata terminata da un firewall o da un proxy.
Nuove funzionalità o miglioramenti:
Microsoft Entra Connect Sync
- Il cmdlet Get-ADSyncScheduler restituisce ora una nuova proprietà booleana denominata SyncCycleInProgress. Se il valore restituito è true, significa che è in corso un ciclo di sincronizzazione pianificato.
- La cartella di destinazione per l'archiviazione dei log di installazione e installazione di Microsoft Entra Connessione è stata spostata da
%localappdata%\AADConnect
per%programdata%\AADConnect
migliorare l'accessibilità ai file di log.
Gestione di AD FS.
- Aggiunto il supporto per l'aggiornamento del certificato TLS/SSL Farm AD FS.
- Aggiunto il supporto per la gestione di AD FS 2016.
- È ora possibile specificare un gMSA (account del servizio gestito di gruppo) durante l'installazione di AD FS.
- È ora possibile configurare SHA-256 come algoritmo hash della firma per l'attendibilità della relying party dell'ID Microsoft Entra.
Reimpostazione della password
- Miglioramenti per consentire al prodotto di funzionare in ambienti con regole più severe del firewall.
- Migliore affidabilità della connessione al bus di servizio.
1.1.380.0
Data di rilascio: dicembre 2016
Problema risolto:
- Risolto il problema secondo cui in questa build manca la regola di attestazione issuerid per Active Directory Federation Services (AD FS).
Nota
Questa compilazione non è disponibile per i clienti tramite la funzionalità Di aggiornamento automatico di Microsoft Entra Connessione.
1.1.371.0
Data di rilascio: dicembre 2016
Problema noto:
- La regola di attestazione issuerid per AD FS manca in questa build. La regola attestazione issuerid è necessaria se si esegue la federazione di più domini con Microsoft Entra ID. Se si usa Microsoft Entra Connessione per gestire la distribuzione di AD FS locale, l'aggiornamento a questa build rimuove la regola di attestazione issuerid esistente dalla configurazione di AD FS. È possibile risolvere il problema aggiungendo la regola attestazione issuerid dopo l'installazione/aggiornamento. Per informazioni dettagliate sull'aggiunta della regola di attestazione issuerid, vedere questo articolo sul supporto di più domini per la federazione con Microsoft Entra ID.
Problema risolto:
- Se la porta 9090 non viene aperta per la connessione in uscita, l'installazione o l'aggiornamento di Microsoft Entra Connessione non riesce.
Nota
Questa compilazione non è disponibile per i clienti tramite la funzionalità Di aggiornamento automatico di Microsoft Entra Connessione.
1.1.370.0
Data di rilascio: dicembre 2016
Problemi noti:
- La regola di attestazione issuerid per AD FS manca in questa build. La regola attestazione issuerid è necessaria se si esegue la federazione di più domini con Microsoft Entra ID. Se si usa Microsoft Entra Connessione per gestire la distribuzione di AD FS locale, l'aggiornamento a questa build rimuove la regola di attestazione issuerid esistente dalla configurazione di AD FS. È possibile risolvere il problema aggiungendo la regola attestazione issuerid dopo l'installazione/aggiornamento. Per informazioni dettagliate sull'aggiunta di una regola di attestazione issuerid, vedere questo articolo sul supporto di più domini per la federazione con Microsoft Entra ID.
- La porta 9090 deve essere aperta in uscita per completare l'installazione.
Nuove funzionalità:
- Autenticazione pass-through .
Nota
Questa compilazione non è disponibile per i clienti tramite la funzionalità Di aggiornamento automatico di Microsoft Entra Connessione.
1.1.343.0
Data di rilascio: novembre 2016
Problema noto:
- La regola di attestazione issuerid per AD FS manca in questa build. La regola attestazione issuerid è necessaria se si esegue la federazione di più domini con Microsoft Entra ID. Se si usa Microsoft Entra Connessione per gestire la distribuzione di AD FS locale, l'aggiornamento a questa build rimuove la regola di attestazione issuerid esistente dalla configurazione di AD FS. È possibile risolvere il problema aggiungendo la regola attestazione issuerid dopo l'installazione/aggiornamento. Per informazioni dettagliate sull'aggiunta di una regola di attestazione issuerid, vedere questo articolo sul supporto di più domini per la federazione con Microsoft Entra ID.
Problemi risolti:
- In alcuni casi, l'installazione di Microsoft Entra Connessione ha esito negativo perché non è in grado di creare un account del servizio locale la cui password soddisfa il livello di complessità specificato dai criteri password dell'organizzazione.
- È stato risolto un problema per cui le regole di join non vengono rivalutate quando un oggetto nello spazio connettore diventa simultaneamente fuori ambito per una regola di join e diventa nell'ambito per un altro. Questa situazione può verificarsi se sono presenti due o più regole di unione, le cui condizioni di unione si escludono a vicenda.
- È stato risolto un problema per cui le regole di sincronizzazione in ingresso (da Microsoft Entra ID), che non contengono regole di join, non vengono elaborate se hanno valori di precedenza inferiori rispetto a quelli contenenti regole di join.
Miglioramenti:
- Aggiunta del supporto per l'installazione di Microsoft Entra Connessione in Windows Server 2016 Standard o versione successiva.
- Aggiunta del supporto per l'uso di SQL Server 2016 come database remoto per Microsoft Entra Connessione.
1.1.281.0
Data di rilascio: agosto 2016
Problemi risolti:
- Le modifiche apportate all'intervallo di sincronizzazione non vengono eseguite fino al completamento del ciclo di sincronizzazione successivo.
- La procedura guidata di Microsoft Entra Connessione non accetta un account Microsoft Entra il cui nome utente inizia con un carattere di sottolineatura (_).
- La procedura guidata di Microsoft Entra Connessione non riesce ad autenticare l'account Microsoft Entra se la password dell'account contiene troppi caratteri speciali. Viene visualizzato il messaggio di errore "La convalida delle credenziali non è riuscita. Si è verificato un errore imprevisto." viene restituito.
- La disinstallazione del server di gestione temporanea disabilita la sincronizzazione delle password nel tenant di Microsoft Entra e causa l'esito negativo della sincronizzazione delle password con il server attivo.
- La sincronizzazione delle password ha esito negativo in casi non comuni quando non è presente alcun hash delle password archiviato nell'utente.
- Quando microsoft Entra Connessione server è abilitato per la modalità di gestione temporanea, il writeback delle password non viene temporaneamente disabilitato.
- La procedura guidata microsoft Entra Connessione non mostra la configurazione effettiva di sincronizzazione delle password e writeback delle password quando il server è in modalità di gestione temporanea. Indica sempre le due funzionalità come disabilitate.
- Le modifiche di configurazione alla sincronizzazione delle password e al writeback delle password non vengono rese persistenti da Microsoft Entra Connessione procedura guidata quando il server è in modalità di gestione temporanea.
Miglioramenti:
- Aggiornamento del cmdlet Start-ADSyncSyncCycle per indicare se è in grado di avviare correttamente un nuovo ciclo di sincronizzazione.
- Aggiunta del cmdlet Stop-ADSyncSyncCycle per terminare il ciclo di sincronizzazione e l'operazione in corso.
- Aggiornamento del cmdlet Stop-ADSyncScheduler per terminare il ciclo di sincronizzazione e l'operazione in corso.
- Quando si configurano le estensioni directory in Microsoft Entra Connessione procedura guidata, è ora possibile selezionare l'attributo Microsoft Entra di tipo "Teletex string".
1.1.189.0
Data di rilascio: giugno 2016
Problemi risolti e miglioramenti:
- Microsoft Entra Connessione può ora essere installato in un server conforme a FIPS.
- Per la sincronizzazione della password, vedere Sincronizzazione dell'hash delle password e FIPS.
- È stato risolto un problema per cui non è stato possibile risolvere un nome NetBIOS nel nome di dominio completo nel Connessione or di Active Directory.
1.1.180.0
Data di rilascio: maggio 2016
Nuove funzionalità:
- Avvisa e aiuta a verificare i domini se non è stato fatto prima di eseguire Microsoft Entra Connessione.
- Aggiunto il supporto per Microsoft Cloud Germany.
- Aggiunto il supporto per la versione più recente dell'infrastruttura cloud di Microsoft Azure per enti pubblici con nuovi requisiti per gli URL.
Problemi risolti e miglioramenti:
- Aggiunti i filtri all'editor delle regole di sincronizzazione per semplificare il reperimento delle regole.
- Miglioramento delle prestazioni quando si elimina uno spazio connettore.
- Risolto un problema che si verificava quando lo stesso oggetto veniva sia eliminato che aggiunto nella stessa esecuzione (elimina/aggiungi).
- Una regola di sincronizzazione disabilitata ora non riattiva più gli oggetti e gli attributi inclusi all'aggiornamento del sistema o dello schema della directory.
1.1.130.0
Data di rilascio: aprile 2016
Nuove funzionalità:
- Aggiunto il supporto per gli attributi multivalore alle estensioni della directory.
- Aggiunto il supporto per altre varianti di configurazione dell' aggiornamento automatico da considerare idonee per l'aggiornamento.
- Aggiunti alcuni cmdlet per l' utilità di pianificazione personalizzata.
1.1.119.0
Data di rilascio: marzo 2016
Problemi risolti:
- Assicurarsi che l'installazione rapida non possa essere usata in Windows Server 2008 (pre-R2) perché la sincronizzazione password non è supportata in questo sistema operativo.
- L'aggiornamento da DirSync con una configurazione di filtro personalizzata non funziona come previsto.
- Quando si esegue l'aggiornamento a una versione più recente e non sono presenti modifiche alla configurazione, non è consigliabile pianificare un'importazione/sincronizzazione completa.
1.1.110.0
Data di rilascio: febbraio 2016
Problemi risolti:
- L'aggiornamento dalle versioni precedenti non funziona se l'installazione non si trova nella cartella C:\Programmi predefinita.
- Se si installa e si deseleziona Avvia il processo di sincronizzazione alla fine dell'installazione guidata, l'esecuzione dell'installazione guidata una seconda volta non abilita l'utilità di pianificazione.
- L'utilità di pianificazione non funziona come previsto nei server in cui il formato di data/ora degli Stati Uniti non viene usato.
Get-ADSyncScheduler
non potrà restituire gli orari corretti. - Se è stata installata una versione precedente di Microsoft Entra Connessione con AD FS come opzione di accesso e aggiornamento, non è possibile eseguire di nuovo l'installazione guidata.
1.1.105.0
Data di rilascio: febbraio 2016
Nuove funzionalità:
- Automatic upgrade per i clienti con impostazioni rapide.
- Supporto per l'identità ibrida Amministrazione istrator tramite l'autenticazione a più fattori Di Microsoft Entra e Privileged Identity Management nell'installazione guidata.
- È necessario consentire al proxy anche di consentire il traffico a
https://secure.aadcdn.microsoftonline-p.com
se si usa l'autenticazione a più fattori. - È necessario aggiungere
https://secure.aadcdn.microsoftonline-p.com
all'elenco di siti attendibili per il corretto funzionamento dell'autenticazione a più fattori. - Possibilità di modificare il metodo di accesso dell'utente dopo l'installazione iniziale.
- Possibilità di usare i filtri basati su dominio e unità organizzativa nell'Installazione guidata. Ciò consente anche la connessione a foreste in cui non sono disponibili tutti i domini.
- L'Utilità di pianificazione è incorporata nel motore di sincronizzazione.
Funzionalità passate dal livello di anteprima al livello di disponibilità generale:
Nuove funzionalità di anteprima:
- Il nuovo intervallo predefinito per i cicli di sincronizzazione è pari a 30 minuti. In tutte le versioni precedenti è pari a tre ore. Aggiunge il supporto per la modifica del comportamento dell' utilità di pianificazione .
Problemi risolti:
- La pagina di verifica dei domini DNS non riconosceva sempre i domini.
- Richiesta di credenziali di amministratore del dominio durante la configurazione di AD FS.
- Gli account AD locali non vengono riconosciuti dall'installazione guidata se si trovano in un dominio con un albero DNS diverso rispetto al dominio radice.
1.0.9131.0
Data di rilascio: dicembre 2015
Problemi risolti:
- La sincronizzazione delle password potrebbe non funzionare quando si modificano le password in Active Directory Domain Services (AD DS), ma funziona quando si imposta la password.
- Quando si dispone di un server proxy, l'autenticazione a Microsoft Entra ID potrebbe non riuscire durante l'installazione o se un aggiornamento viene annullato nella pagina di configurazione.
- L'aggiornamento da una versione precedente di Microsoft Entra Connessione con un'istanza completa di SQL Server ha esito negativo se non si è un amministratore di sistema (SA) di SQL Server.
- L'aggiornamento da una versione precedente di Microsoft Entra Connessione con un'istanza remota di SQL Server mostra l'errore "Impossibile accedere al database SQL ADSync".
1.0.9125.0
Data di rilascio: novembre 2015
Nuove funzionalità:
- Può riconfigurare AD FS in microsoft Entra ID trust.
- È possibile aggiornare lo schema di Active Directory e rigenerare le regole di sincronizzazione.
- È possibile disattivare una regola di sincronizzazione.
- È possibile definire "AuthoritativeNull" come un nuovo valore letterale in una regola di sincronizzazione.
Nuove funzionalità di anteprima:
- Microsoft Entra Connessione Health per la sincronizzazione.
- Supporto per la sincronizzazione delle password di Microsoft Entra Domain Services .
Nuovo scenario supportato:
- Supporta più organizzazioni di Exchange locali Per altre informazioni, vedere Distribuzioni ibride con più foreste di Active Directory.
Problemi risolti:
- Problemi sulla sincronizzazione delle password:
- Un oggetto spostato dall'ambito esterno all'ambito non avrà la password sincronizzata. Questo include unità Organizzativa e filtro attributi.
- La selezione di una nuova unità organizzativa da includere nella sincronizzazione non richiede una sincronizzazione completa della password.
- Quando un utente disabilitato è abilitato, la password non viene sincronizzata.
- La coda di tentativi di password è infinita e il limite precedente di 5.000 oggetti da ritirare è stato rimosso.
- Impossibile connettersi ad Active Directory con livello di funzionalità foresta Windows Server 2016.
- Impossibile modificare il gruppo usato per il filtro di gruppo dopo l'installazione iniziale.
- Non crea più un nuovo profilo utente nel server microsoft Entra Connessione per ogni utente che esegue una modifica della password con il writeback delle password abilitato.
- Non è possibile usare valori Intero lungo negli ambiti di regole di sincronizzazione.
- La casella di controllo "writeback dispositivi" rimane disabilitata se sono presenti controller di dominio non raggiungibili.
1.0.8667.0
Data di rilascio: agosto 2015
Nuove funzionalità:
- L'installazione guidata di Microsoft Entra Connessione è ora localizzata in tutte le lingue di Windows Server.
- Aggiunta del supporto per lo sblocco dell'account quando si usa la gestione delle password di Microsoft Entra.
Problemi risolti:
- L'installazione guidata di Microsoft Entra Connessione si arresta in modo anomalo se un altro utente continua l'installazione anziché la persona che ha avviato l'installazione.
- Se una disinstallazione precedente di Microsoft Entra Connessione non riesce a disinstallare Correttamente Microsoft Entra Connessione Sync, non è possibile reinstallare.
- Non è possibile installare Microsoft Entra Connessione utilizzando l'installazione rapida se l'utente non si trova nel dominio radice della foresta o se viene usata una versione non in lingua inglese di Active Directory.
- Se non è possibile risolvere il nome di dominio completo dell'account utente di Active Directory, viene visualizzato un messaggio di errore fuorviante "Impossibile eseguire il commit dello schema".
- Se l'account usato in Active Directory Connector viene modificato all'esterno della procedura guidata, le esecuzioni successive della procedura guidata avranno esito negativo.
- Microsoft Entra Connessione talvolta non riesce a eseguire l'installazione in un controller di dominio.
- Non è possibile abilitare e disabilitare la "modalità di gestione temporanea" se sono stati aggiunti attributi di estensione.
- Il writeback delle password ha esito negativo in alcune configurazioni a causa di una password non valida in Active Directory Connector.
- DirSync non può essere aggiornato se viene usato un nome distinto (DN) nel filtro degli attributi.
- Utilizzo eccessivo della CPU quando si utilizza la reimpostazione della password.
Funzionalità di anteprima rimosse:
- La funzionalità di anteprima Utente writeback è stata temporaneamente rimossa in base ai suggerimenti espressi dai clienti dell’anteprima. Verrà aggiunto di nuovo in un secondo momento, una volta valutato il feedback fornito.
1.0.8641.0
Data di rilascio: giugno 2015
Rilascio iniziale di Microsoft Entra Connessione.
Modifica del nome da Azure AD Sync a Microsoft Entra Connessione.
Nuove funzionalità:
- Installazione mediante le impostazioni rapide
- È possibile configurare la farm AD FS
- È possibile aggiornare da DirSync
- Impedire eliminazioni accidentali
- Introdotta la modalità di gestione temporanea
Nuove funzionalità di anteprima:
1.0.494.0501
Data di rilascio: maggio 2015
Nuovo requisito:
- Azure AD Sync richiede ora .NET Framework versione 4.5.1 per l'installazione.
Problemi risolti:
- Il writeback delle password da Microsoft Entra ID ha esito negativo con un errore di connettività bus di servizio di Azure.
1.0.491.0413
Data di rilascio: aprile 2015
Problemi risolti e miglioramenti:
- Il Connessione or di Active Directory non elabora correttamente le eliminazioni se il Cestino è abilitato e nella foresta sono presenti più domini.
- Le prestazioni delle operazioni di importazione sono state migliorate per Microsoft Entra Connessione or.
- Quando un gruppo ha superato il limite di appartenenza (per impostazione predefinita, il limite è impostato su 50.000 oggetti), il gruppo è stato eliminato in Microsoft Entra ID. Con il nuovo comportamento, il gruppo non viene eliminato, viene generato un errore e non vengono esportate nuove modifiche di appartenenza.
- Non è possibile effettuare il provisioning di un nuovo oggetto se un'eliminazione a fasi con lo stesso DN è già presente nello spazio connettore.
- Alcuni oggetti sono contrassegnati per la sincronizzazione durante una sincronizzazione Delta, anche se non sono previste modifiche a fasi sull'oggetto.
- La forzatura della sincronizzazione delle password rimuove anche l'elenco dei controller di dominio preferiti.
- Si sono verificati problemi di CSExportAnalyzer con alcuni stati degli oggetti.
Nuove funzionalità:
- Un join può ora connettersi al tipo di oggetto "ANY" nel metaverse.
1.0.485.0222
Data di rilascio: febbraio 2015
Miglioramenti:
- Prestazioni migliorate per l'importazione.
Problemi risolti:
- La sincronizzazione delle password rispetta l'attributo cloudFiltered usato dal filtro di attributi. Gli oggetti filtrati non sono più inclusi nell'ambito per la sincronizzazione delle password.
- Nelle rare situazioni in cui la topologia include un numero elevato di controller di dominio, la sincronizzazione delle password non funziona.
- "Stopped-server" durante l'importazione da Microsoft Entra Connessione or dopo l'abilitazione della gestione dei dispositivi in Azure AD/Intune.
- L'aggiunta di entità di protezione esterne da più domini nella stessa foresta provoca un errore di join ambiguo.
1.0.475.1202
Data di rilascio: dicembre 2014
Nuove funzionalità:
- È ora supportata l'esecuzione della sincronizzazione delle password con filtri basati sugli attributi. Per informazioni dettagliate, vedere Sincronizzazione delle password con i filtri.
- L'attributo ms-DS-ExternalDirectoryObjectID viene scritto di nuovo in Active Directory. Questa funzionalità aggiunge il supporto per le applicazioni Microsoft 365. Usa OAuth2 per accedere alle cassette postali online e locali in una distribuzione ibrida di Exchange.
Problemi di aggiornamento risolti:
- Nel server è disponibile una versione più recente dell'Assistente per l'accesso.
- Per l'installazione di Azure AD Sync è stato usato un percorso di installazione personalizzato.
- Un criterio di join personalizzato non valido blocca l'aggiornamento.
Altre correzioni:
- I problemi dei modelli per Office Pro Plus sono stati risolti.
- I problemi di installazione provocati dai nomi utente che iniziano con un trattino sono stati risolti.
- Il problema relativo alla perdita dell'impostazione sourceAnchor durante la seconda esecuzione dell'Installazione guidata è stato risolto.
- Il problema relativo alla traccia ETW per la sincronizzazione delle password è stato risolto.
1.0.470.1023
Data di rilascio: ottobre 2014
Nuove funzionalità:
- Sincronizzazione delle password da più Active Directory locale a Microsoft Entra ID.
- Interfaccia utente di installazione localizzata per tutte le lingue in cui è disponibile Windows Server.
Aggiornamento da AADSync 1.0 GA
Se Azure AD Sync è già installato, è necessario eseguire un passaggio aggiuntivo nel caso in cui siano state modificate le regole di sincronizzazione predefinite. In seguito all'aggiornamento alla versione 1.0.470.1023, le regole di sincronizzazione modificate vengono duplicate. Per ogni regola di sincronizzazione modificata eseguire le operazioni seguenti:
- Trovare la regola di sincronizzazione modificata e prendere nota delle modifiche.
- Eliminare la regola di sincronizzazione.
- Trovare la nuova regola di sincronizzazione creata da Azure AD Sync e riapplicare le modifiche.
Autorizzazioni per l'account Active Directory
Per poter leggere gli hash delle password da Active Directory, è necessario concedere autorizzazioni aggiuntive all'account di Active Directory. Le autorizzazioni da concedere sono "Replica modifiche directory" e "Replica di tutte le modifiche directory". Per poter leggere gli hash delle password, sono necessarie entrambe le autorizzazioni.
1.0.419.0911
Data di rilascio: settembre 2014
Rilascio iniziale di Azure AD Sync.
Passaggi successivi
Altre informazioni sull'integrazione delle identità locali con Microsoft Entra ID.