Esercitazione: Usare la federazione per l'identità ibrida in una singola foresta di Active Directory

Questa esercitazione illustra come creare un ambiente ibrido per le identità in Azure usando la federazione e Windows Server Active Directory (Windows Server AD). È possibile usare l'ambiente di gestione delle identità ibride creato per il test o per acquisire familiarità con il funzionamento dell'identità ibrida.

In questa esercitazione apprenderai a:

• Creare una macchina virtuale.
• Creare un ambiente Active Directory di Windows Server.
• Creare un utente di Windows Server Active Directory.
• Crea un certificato.
• Creare un tenant di Microsoft Entra.
• Creare un account hybrid identity Amministrazione istrator in Azure.
• Aggiungere un dominio personalizzato alla directory.
• Configurare Microsoft Entra Connessione.
• Testare e verificare che gli utenti siano sincronizzati.

Prerequisiti

Per completare l'esercitazione, sono necessari questi elementi:

• Un computer in cui è installato Hyper-V. È consigliabile installare Hyper-V in un computer Windows 10 o Windows Server 2016 .
• Una sottoscrizione di Azure. Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.
• Una scheda di rete esterna, in modo che la macchina virtuale possa connettersi a Internet.
• Copia di Windows Server 2016.
• Dominio personalizzato che può essere verificato.

Nota

Questa esercitazione usa script di PowerShell per creare rapidamente l'ambiente dell'esercitazione. Ogni script usa variabili dichiarate all'inizio dello script. Assicurarsi di modificare le variabili in modo che riflettano l'ambiente.

Gli script dell'esercitazione creano un ambiente Windows Server Active Directory (Windows Server AD) generale prima di installare Microsoft Entra Connessione. Gli script vengono usati anche nelle esercitazioni correlate.

Gli script di PowerShell usati in questa esercitazione sono disponibili in GitHub.

Creare una macchina virtuale

Per creare un ambiente di gestione delle identità ibride, la prima attività consiste nel creare una macchina virtuale da usare come server Windows Server AD locale.

Nota

Se non è mai stato eseguito uno script in PowerShell nel computer host, prima di eseguire script, aprire Windows PowerShell I edizione Standard come amministratore ed eseguire Set-ExecutionPolicy remotesigned. Nella finestra di dialogo Modifica criteri di esecuzione selezionare Sì.

Per creare la macchina virtuale:

1. Aprire Windows PowerShell I edizione Standard come amministratore.

2. Eseguire lo script seguente:

   #Declare variables
   $VMName = 'DC1'
   $Switch = 'External'
   $InstallMedia = 'D:\ISO\en_windows_server_2016_updated_feb_2018_x64_dvd_11636692.iso'
   $Path = 'D:\VM'
   $VHDPath = 'D:\VM\DC1\DC1.vhdx'
   $VHDSize = '64424509440'
   
   #Create a new virtual machine
   New-VM -Name $VMName -MemoryStartupBytes 16GB -BootDevice VHD -Path $Path -NewVHDPath $VHDPath -NewVHDSizeBytes $VHDSize  -Generation 2 -Switch $Switch  
   
   #Set the memory to be non-dynamic
   Set-VMMemory $VMName -DynamicMemoryEnabled $false
   
   #Add a DVD drive to the virtual machine
   Add-VMDvdDrive -VMName $VMName -ControllerNumber 0 -ControllerLocation 1 -Path $InstallMedia
   
   #Mount installation media
   $DVDDrive = Get-VMDvdDrive -VMName $VMName
   
   #Configure the virtual machine to boot from the DVD
   Set-VMFirmware -VMName $VMName -FirstBootDevice $DVDDrive 
   

Installare il sistema operativo

Per completare la creazione della macchina virtuale, installare il sistema operativo:

1. In Console di gestione di Hyper-V fare doppio clic sulla macchina virtuale.
2. Selezionare Inizio.
3. Al prompt, premere un tasto qualsiasi per l'avvio da CD o DVD.
4. Nella finestra di avvio di Windows Server selezionare la lingua e quindi selezionare Avanti.
5. Selezionare Installa adesso.
6. Immettere il codice di licenza e selezionare Avanti.
7. Selezionare la casella di controllo Accetto le condizioni di licenza e selezionare Avanti.
8. Selezionare Personalizzato: Installa solo Windows (avanzato).
9. Selezionare Avanti.
10. Al termine dell'installazione, riavviare la macchina virtuale. Accedere e quindi selezionare Windows Update. Installare tutti gli aggiornamenti per assicurarsi che la macchina virtuale sia completamente aggiornata.

Installare i prerequisiti di Windows Server AD

Prima di installare Windows Server AD, eseguire uno script che installa i prerequisiti:

1. Aprire Windows PowerShell I edizione Standard come amministratore.

2. Eseguire Set-ExecutionPolicy remotesigned. Nella finestra di dialogo Modifica criteri di esecuzione selezionare Sì a Tutti.

3. Eseguire lo script seguente:

   #Declare variables
   $ipaddress = "10.0.1.117" 
   $ipprefix = "24" 
   $ipgw = "10.0.1.1" 
   $ipdns = "10.0.1.117"
   $ipdns2 = "8.8.8.8" 
   $ipif = (Get-NetAdapter).ifIndex 
   $featureLogPath = "c:\poshlog\featurelog.txt" 
   $newname = "DC1"
   $addsTools = "RSAT-AD-Tools" 
   
   #Set a static IP address
   New-NetIPAddress -IPAddress $ipaddress -PrefixLength $ipprefix -InterfaceIndex $ipif -DefaultGateway $ipgw 
   
   # Set the DNS servers
   Set-DnsClientServerAddress -InterfaceIndex $ipif -ServerAddresses ($ipdns, $ipdns2)
   
   #Rename the computer 
   Rename-Computer -NewName $newname -force 
   
   #Install features 
   New-Item $featureLogPath -ItemType file -Force 
   Add-WindowsFeature $addsTools 
   Get-WindowsFeature | Where installed >>$featureLogPath 
   
   #Restart the computer 
   Restart-Computer
   

Creare un ambiente di Active Directory per Windows Server

Installare e configurare Dominio di Active Directory Services per creare l'ambiente:

1. Aprire Windows PowerShell I edizione Standard come amministratore.

2. Eseguire lo script seguente:

   #Declare variables
   $DatabasePath = "c:\windows\NTDS"
   $DomainMode = "WinThreshold"
   $DomainName = "contoso.com"
   $DomainNetBIOSName = "CONTOSO"
   $ForestMode = "WinThreshold"
   $LogPath = "c:\windows\NTDS"
   $SysVolPath = "c:\windows\SYSVOL"
   $featureLogPath = "c:\poshlog\featurelog.txt" 
   $Password = ConvertTo-SecureString "Passw0rd" -AsPlainText -Force
   
   #Install Active Directory Domain Services, DNS, and Group Policy Management Console 
   start-job -Name addFeature -ScriptBlock { 
   Add-WindowsFeature -Name "ad-domain-services" -IncludeAllSubFeature -IncludeManagementTools 
   Add-WindowsFeature -Name "dns" -IncludeAllSubFeature -IncludeManagementTools 
   Add-WindowsFeature -Name "gpmc" -IncludeAllSubFeature -IncludeManagementTools } 
   Wait-Job -Name addFeature 
   Get-WindowsFeature | Where installed >>$featureLogPath
   
   #Create a new Windows Server AD forest
   Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath $DatabasePath -DomainMode $DomainMode -DomainName $DomainName -SafeModeAdministratorPassword $Password -DomainNetbiosName $DomainNetBIOSName -ForestMode $ForestMode -InstallDns:$true -LogPath $LogPath -NoRebootOnCompletion:$false -SysvolPath $SysVolPath -Force:$true
   

Creare un utente di Active Directory per Windows Server

Creare quindi un account utente di test. Creare questo account nell'ambiente Active Directory locale. L'account viene quindi sincronizzato con Microsoft Entra ID.

1. Aprire Windows PowerShell I edizione Standard come amministratore.

2. Eseguire lo script seguente:

   #Declare variables
   $Givenname = "Allie"
   $Surname = "McCray"
   $Displayname = "Allie McCray"
   $Name = "amccray"
   $Password = "Pass1w0rd"
   $Identity = "CN=ammccray,CN=Users,DC=contoso,DC=com"
   $SecureString = ConvertTo-SecureString $Password -AsPlainText -Force
   
   #Create the user
   New-ADUser -Name $Name -GivenName $Givenname -Surname $Surname -DisplayName $Displayname -AccountPassword $SecureString
   
   #Set the password to never expire
   Set-ADUser -Identity $Identity -PasswordNeverExpires $true -ChangePasswordAtLogon $false -Enabled $true
   

Creare un certificato per Active Directory Federation Services

È necessario un certificato TLS o SSL che verrà usato da Active Directory Federation Services (AD FS). Il certificato è un certificato autofirmato e lo si crea per usarlo solo per i test. È consigliabile non usare un certificato autofirmato in un ambiente di produzione.

Per creare un certificato:

1. Aprire Windows PowerShell I edizione Standard come amministratore.

2. Eseguire lo script seguente:

   #Declare variables
   $DNSname = "adfs.contoso.com"
   $Location = "cert:\LocalMachine\My"
   
   #Create a certificate
   New-SelfSignedCertificate -DnsName $DNSname -CertStoreLocation $Location
   

Creare un tenant di Microsoft Entra

Se non è disponibile, seguire la procedura descritta nell'articolo Creare un nuovo tenant in Microsoft Entra ID per creare un nuovo tenant.

Creare un account di identità ibrida Amministrazione istrator in Microsoft Entra ID

L'attività successiva consiste nel creare un account di identità ibrida Amministrazione istrator. Questo account viene usato per creare l'account microsoft Entra Connessione or durante l'installazione di Microsoft Entra Connessione. L'account microsoft Entra Connessione or viene usato per scrivere informazioni nell'ID Microsoft Entra.

Per creare l'account hybrid identity Amministrazione istrator:

1. Accedi all'Interfaccia di amministrazione di Microsoft Entra.

2. Passare a Utenti identità>>Tutti gli utenti

3. Selezionare Nuovo utente>Crea nuovo utente.

4. Nel riquadro Crea nuovo utente immettere un nome visualizzato e un nome dell'entità utente per il nuovo utente. Si sta creando l'account dell'identità ibrida Amministrazione istrator per il tenant. È possibile visualizzare e copiare la password temporanea.

   1. In Assegnazioni selezionare Aggiungi ruolo e selezionare Identità ibrida Amministrazione istrator.

5. Selezionare quindi Rivedi e crea>crea.

6. In una nuova finestra del Web browser accedere myapps.microsoft.com usando il nuovo account di identità ibrida Amministrazione istrator e la password temporanea.

7. Scegliere una nuova password per l'account Amministrazione istrator di identità ibrida e modificare la password.

Aggiungere un nome di dominio personalizzato alla directory

Ora che si dispone di un tenant e di un account di identità ibrida Amministrazione istrator, aggiungere il dominio personalizzato in modo che Azure possa verificarlo.

Per aggiungere un nome di dominio personalizzato a una directory:

1. Nell'[interfaccia di amministrazione di Microsoft Entra](https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/Overview), assicurarsi di chiudere il riquadro Tutti gli utenti .

2. Nel menu a sinistra in Gestisci selezionare Nomi di dominio personalizzati.

3. Selezionare Aggiungi dominio personalizzato.

   

4. In Nomi di dominio personalizzati immettere il nome del dominio personalizzato e quindi selezionare Aggiungi dominio.

5. In Nome di dominio personalizzato vengono visualizzate le informazioni TXT o MX. È necessario aggiungere queste informazioni alle informazioni DNS del registrar nel dominio. Passare al registrar e immettere le informazioni TXT o MX nelle impostazioni DNS per il dominio.

   L'aggiunta di queste informazioni al registrar di dominio consente ad Azure di verificare il dominio. La verifica del dominio potrebbe richiedere fino a 24 ore.

   Per altre informazioni, vedere la documentazione Aggiungere un dominio personalizzato.

6. Per assicurarsi che il dominio sia verificato, selezionare Verifica.

   

Scaricare e installare Microsoft Entra Connessione

È ora possibile scaricare e installare Microsoft Entra Connessione. Dopo l'installazione, si userà l'installazione rapida.

1. Scaricare Microsoft Entra Connessione.

2. Passare ad AzureAD Connessione.msi e fare doppio clic per aprire il file di installazione.

3. In Benvenuto selezionare la casella di controllo per accettare le condizioni di licenza e quindi selezionare Continua.

4. In Impostazioni rapide selezionare Personalizza.

5. In Installa i componenti necessari selezionare Installa.

6. In Accesso utente selezionare Federazione con AD FS e quindi selezionare Avanti.

   

7. In Connessione all'ID Microsoft Entra immettere il nome utente e la password dell'account di identità ibrida Amministrazione istrator creato in precedenza e quindi selezionare Avanti.

8. In Connessione directory selezionare Aggiungi directory. Selezionare quindi Crea nuovo account AD e immettere il nome utente e la password contoso\Amministrazione istrator. Selezionare OK.

9. Seleziona Avanti.

10. Nella configurazione di accesso a Microsoft Entra selezionare Continua senza associare tutti i suffissi UPN ai domini verificati. Selezionare Avanti.

11. In Filtro dominio e unità organizzativa selezionare Avanti.

12. In Identificazione univoca degli utenti selezionare Avanti.

13. In Filtra utenti e dispositivi selezionare Avanti.

14. In Funzionalità facoltative selezionare Avanti.

15. In Credenziali di domain Amministrazione istrator immettere il nome utente e la password contoso\Amministrazione istrator e quindi selezionare Avanti.

16. Nella farm AD FS verificare che l'opzione Configura una nuova farm AD FS sia selezionata.

17. Selezionare Usa un certificato installato nei server federativi e quindi selezionare Sfoglia.

18. Nella casella di ricerca immettere DC1 e selezionarlo nei risultati della ricerca. Selezionare OK.

19. Per File di certificato selezionare adfs.contoso.com, il certificato creato. Selezionare Avanti.

    

20. Nel server AD FS selezionare Sfoglia. Nella casella di ricerca immettere DC1 e selezionarlo nei risultati della ricerca. Seleziona OK e quindi Avanti.

    

21. In Server proxy applicazione Web selezionare Avanti.

22. Nell'account del servizio AD FS immettere il nome utente e la password contoso\Amministrazione istrator e quindi selezionare Avanti.

23. In Dominio Microsoft Entra selezionare il dominio personalizzato verificato e quindi selezionare Avanti.

24. In Pronto per la configurazione selezionare Installa.

25. Al termine dell'installazione, selezionare Esci.

26. Prima di usare Synchronization Service Manager o Synchronization Rule Editor, disconnettersi e quindi eseguire di nuovo l'accesso.

Verificare la presenza di utenti nel portale

Ora si verificherà che gli utenti nel tenant di Active Directory locale siano sincronizzati e si trovino ora nel tenant di Microsoft Entra. Il completamento di questa sezione potrebbe richiedere alcune ore.

Per verificare che gli utenti siano sincronizzati:

1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un'identità ibrida Amministrazione istrator.

2. Passare a Utenti identità>>Tutti gli utenti

3. Verificare che i nuovi utenti vengano visualizzati nel tenant.

   

Accedere con un account utente per testare la sincronizzazione

Per verificare che gli utenti del tenant di Windows Server AD siano sincronizzati con il tenant di Microsoft Entra, accedere come uno degli utenti:

1. Andare alla pagina https://myapps.microsoft.com.

2. Accedere con un account utente creato nel nuovo tenant.

   Per il nome utente, usare il formato user@domain.onmicrosoft.com. Usare la stessa password usata dall'utente per accedere a Active Directory locale.

È stato configurato correttamente un ambiente di gestione delle identità ibrido che è possibile usare per testare e acquisire familiarità con le funzionalità offerte da Azure.

Passaggi successivi

• Vedere Hardware e prerequisiti di Microsoft Entra Connessione.
• Informazioni su come usare le impostazioni personalizzate in Microsoft Entra Connessione.
• Altre informazioni su Microsoft Entra Connessione e federazione.