Esercitazione: Usare la federazione per l'identità ibrida in una singola foresta di Active Directory

Questa esercitazione illustra come creare un ambiente di gestione delle identità ibride in Azure usando la federazione e Windows Server Active Directory (Windows Server AD). È possibile usare l'ambiente di gestione delle identità ibride creato a scopo di test per acquisire maggiore familiarità con il funzionamento di un'identità ibrida.

In questa esercitazione apprenderai a:

• Creare una macchina virtuale.
• Creare un ambiente Windows Server Active Directory.
• Creare un utente di Windows Server Active Directory.
• Crea un certificato.
• Creare un tenant di Microsoft Entra.
• Creare un account amministratore delle identità ibride in Azure.
• Aggiungi un dominio personalizzato alla tua directory.
• Configurare Microsoft Entra Connect.
• Eseguire un test per verificare che gli utenti siano sincronizzati.

Prerequisiti

Per completare l'esercitazione, è necessario quanto segue:

• Un computer in cui è installato Hyper-V. È consigliabile installare Hyper-V in un computer Windows 10 o Windows Server 2016.
• Una sottoscrizione di Azure. Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.
• Una scheda di rete esterna, per consentire la connessione della macchina virtuale a Internet.
• Una copia di Windows Server 2016.
• Un dominio personalizzato che può essere verificato.

Nota

In questa esercitazione si usano script di PowerShell per creare rapidamente l'ambiente dell'esercitazione. Ogni script usa variabili dichiarate all'inizio degli script. Assicurarsi di modificare le variabili in base al proprio ambiente.

Negli script dell'esercitazione viene creato un ambiente Windows Server Active Directory (Windows Server AD) generico prima dell'installazione di Microsoft Entra Connect. Gli script vengono usati anche nelle esercitazioni correlate.

Gli script di PowerShell usati in questa esercitazione sono disponibili in GitHub.

Creare una macchina virtuale

Per creare un ambiente di gestione delle identità ibride, la prima attività consiste nel creare una macchina virtuale da usare come un server Windows Server AD locale.

Nota

Se non è mai stato eseguito uno script di PowerShell nel computer host, prima di eseguire gli script, aprire Windows PowerShell ISE come amministratore ed eseguire Set-ExecutionPolicy remotesigned. Nella finestra di dialogo Modifica ai criteri di esecuzione selezionare Sì.

Per creare la macchina virtuale:

1. Aprire Windows PowerShell ISE come amministratore.

2. Eseguire lo script seguente:

   #Declare variables
   $VMName = 'DC1'
   $Switch = 'External'
   $InstallMedia = 'D:\ISO\en_windows_server_2016_updated_feb_2018_x64_dvd_11636692.iso'
   $Path = 'D:\VM'
   $VHDPath = 'D:\VM\DC1\DC1.vhdx'
   $VHDSize = '64424509440'
   
   #Create a new virtual machine
   New-VM -Name $VMName -MemoryStartupBytes 16GB -BootDevice VHD -Path $Path -NewVHDPath $VHDPath -NewVHDSizeBytes $VHDSize  -Generation 2 -Switch $Switch  
   
   #Set the memory to be non-dynamic
   Set-VMMemory $VMName -DynamicMemoryEnabled $false
   
   #Add a DVD drive to the virtual machine
   Add-VMDvdDrive -VMName $VMName -ControllerNumber 0 -ControllerLocation 1 -Path $InstallMedia
   
   #Mount installation media
   $DVDDrive = Get-VMDvdDrive -VMName $VMName
   
   #Configure the virtual machine to boot from the DVD
   Set-VMFirmware -VMName $VMName -FirstBootDevice $DVDDrive 
   

Installare il sistema operativo

Per completare la creazione della macchina virtuale, installare il sistema operativo:

1. In Hyper-V Manager fare doppio clic sulla macchina virtuale.
2. Selezionare Inizio.
3. Al prompt premere un tasto qualsiasi per l'avvio da CD o DVD.
4. Nella schermata di avvio di Windows Server selezionare la lingua e quindi selezionare Avanti.
5. Selezionare Installa ora.
6. Immettere il codice di licenza e selezionare Avanti.
7. Selezionare la casella di controllo Accetto le condizioni di licenza e quindi Avanti.
8. Selezionare Personalizzata: installa solo Windows (opzione avanzata).
9. Selezionare Avanti.
10. Al termine dell'installazione, riavviare la macchina virtuale. Accedere e quindi controllare Windows Update. Installare tutti gli aggiornamenti per assicurarsi che la macchina virtuale sia completamente aggiornata.

Installare i prerequisiti di Windows Server AD

Prima di installare Windows Server AD, eseguire uno script che installa i prerequisiti:

1. Aprire Windows PowerShell ISE come amministratore.

2. Esegui Set-ExecutionPolicy remotesigned. Nella finestra di dialogo Modifica ai criteri di esecuzione selezionare Sì a tutti.

3. Eseguire lo script seguente:

   #Declare variables
   $ipaddress = "10.0.1.117" 
   $ipprefix = "24" 
   $ipgw = "10.0.1.1" 
   $ipdns = "10.0.1.117"
   $ipdns2 = "8.8.8.8" 
   $ipif = (Get-NetAdapter).ifIndex 
   $featureLogPath = "c:\poshlog\featurelog.txt" 
   $newname = "DC1"
   $addsTools = "RSAT-AD-Tools" 
   
   #Set a static IP address
   New-NetIPAddress -IPAddress $ipaddress -PrefixLength $ipprefix -InterfaceIndex $ipif -DefaultGateway $ipgw 
   
   # Set the DNS servers
   Set-DnsClientServerAddress -InterfaceIndex $ipif -ServerAddresses ($ipdns, $ipdns2)
   
   #Rename the computer 
   Rename-Computer -NewName $newname -force 
   
   #Install features 
   New-Item $featureLogPath -ItemType file -Force 
   Add-WindowsFeature $addsTools 
   Get-WindowsFeature | Where installed >>$featureLogPath 
   
   #Restart the computer 
   Restart-Computer
   

Creare un ambiente di Active Directory per Windows Server

A questo punto, installare e configurare Active Directory Domain Services per creare l'ambiente:

1. Aprire Windows PowerShell ISE come amministratore.

2. Eseguire lo script seguente:

   #Declare variables
   $DatabasePath = "c:\windows\NTDS"
   $DomainMode = "WinThreshold"
   $DomainName = "contoso.com"
   $DomainNetBIOSName = "CONTOSO"
   $ForestMode = "WinThreshold"
   $LogPath = "c:\windows\NTDS"
   $SysVolPath = "c:\windows\SYSVOL"
   $featureLogPath = "c:\poshlog\featurelog.txt" 
   $Password = ConvertTo-SecureString "Passw0rd" -AsPlainText -Force
   
   #Install Active Directory Domain Services, DNS, and Group Policy Management Console 
   start-job -Name addFeature -ScriptBlock { 
   Add-WindowsFeature -Name "ad-domain-services" -IncludeAllSubFeature -IncludeManagementTools 
   Add-WindowsFeature -Name "dns" -IncludeAllSubFeature -IncludeManagementTools 
   Add-WindowsFeature -Name "gpmc" -IncludeAllSubFeature -IncludeManagementTools } 
   Wait-Job -Name addFeature 
   Get-WindowsFeature | Where installed >>$featureLogPath
   
   #Create a new Windows Server AD forest
   Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath $DatabasePath -DomainMode $DomainMode -DomainName $DomainName -SafeModeAdministratorPassword $Password -DomainNetbiosName $DomainNetBIOSName -ForestMode $ForestMode -InstallDns:$true -LogPath $LogPath -NoRebootOnCompletion:$false -SysvolPath $SysVolPath -Force:$true
   

Creare un utente di Active Directory per Windows Server

Creare quindi un account utente di test. Creare questo account nell'ambiente Active Directory locale. L'account viene quindi sincronizzato con Microsoft Entra ID.

1. Aprire Windows PowerShell ISE come amministratore.

2. Eseguire lo script seguente:

   #Declare variables
   $Givenname = "Allie"
   $Surname = "McCray"
   $Displayname = "Allie McCray"
   $Name = "amccray"
   $Password = "Pass1w0rd"
   $Identity = "CN=ammccray,CN=Users,DC=contoso,DC=com"
   $SecureString = ConvertTo-SecureString $Password -AsPlainText -Force
   
   #Create the user
   New-ADUser -Name $Name -GivenName $Givenname -Surname $Surname -DisplayName $Displayname -AccountPassword $SecureString
   
   #Set the password to never expire
   Set-ADUser -Identity $Identity -PasswordNeverExpires $true -ChangePasswordAtLogon $false -Enabled $true
   

Creare un certificato per Active Directory Federation Services (AD FS)

È necessario un certificato TLS o SSL che verrà usato da Active Directory Federation Services (AD FS). Si tratta di un certificato autofirmato che viene creato esclusivamente per essere usato nei test. È consigliabile non usare un certificato autofirmato in un ambiente di produzione.

Per creare un certificato:

1. Aprire Windows PowerShell ISE come amministratore.

2. Eseguire lo script seguente:

   #Declare variables
   $DNSname = "adfs.contoso.com"
   $Location = "cert:\LocalMachine\My"
   
   #Create a certificate
   New-SelfSignedCertificate -DnsName $DNSname -CertStoreLocation $Location
   

Creare un tenant di Microsoft Entra

Se non è disponibile, seguire la procedura descritta nell'articolo Creare un nuovo tenant in Microsoft Entra ID per creare un nuovo tenant.

Creare un account Amministratore di Identità Ibrida in Microsoft Entra ID

L'attività successiva consiste nel creare un account amministratore delle identità ibride. Questo account viene usato per creare l'account connettore di Microsoft Entra durante l'installazione di Microsoft Entra Connect. L'account connettore di Microsoft Entra viene usato per scrivere informazioni in Microsoft Entra ID.

Per creare un account amministratore delle identità ibride:

1. Accedi all'Interfaccia di amministrazione di Microsoft Entra.

2. Passare a Identità>Utenti>Tutti gli utenti

3. Selezionare Nuovo utente>Creare nuovo utente.

4. Nel riquadro Crea nuovo utente, inserisci un Nome visualizzato e un Nome principale utente per il nuovo utente. Stai creando un account di amministratore delle identità ibride per il tenant. È possibile visualizzare e copiare la password temporanea.

   1. In Assegnazioni selezionare Aggiungi ruolo e selezionare Amministratore delle identità ibride.

5. Selezionare quindi Rivedi e crea>Crea.

6. In una nuova finestra del web browser, accedere a myapps.microsoft.com utilizzando il nuovo account Amministratore di identità ibride e la password temporanea.

7. Scegliere una nuova password per l'account amministratore delle identità ibride e modificare la password.

Aggiungere un nome di dominio personalizzato alla directory

Ora che si hanno un tenant e un account amministratore delle identità ibride, aggiungere il dominio personalizzato per consentirne la verifica in Azure.

Per aggiungere un nome di dominio personalizzato a una directory:

1. Nell'[Interfaccia di amministrazione di Microsoft Entra] (https://portal.azure.com/#blade/Microsoft_AAD_IAM/ActiveDirectoryMenuBlade/Overview) assicurarsi di chiudere il riquadro Tutti gli utenti.

2. Nel menu a sinistra selezionare Nomi di dominio personalizzati in Gestisci.

3. Selezionare Aggiungi dominio personalizzato.

   

4. In Nomi di dominio personalizzati immettere il nome del dominio personalizzato e quindi selezionare Aggiungi dominio.

5. In Nome dominio personalizzato vengono visualizzate le informazioni relative a TXT o MX. È necessario aggiungere queste informazioni alle informazioni DNS del registrar del proprio dominio. Vai al tuo registrar del dominio e inserisci le informazioni TXT o MX nelle impostazioni DNS per il tuo dominio.

   L'aggiunta di queste informazioni al registrar di domini consente ad Azure di verificare il dominio. La verifica del dominio potrebbe richiedere fino a 24 ore.

   Per altre informazioni, vedere la documentazione Aggiungere un dominio personalizzato.

6. Per assicurarsi che il dominio sia verificato, selezionare Verifica.

   

Scaricare e installare Microsoft Entra Connect

A questo punto è possibile scaricare e installare Microsoft Entra Connect. Dopo l'installazione, userai l'installazione rapida.

1. Scaricare Microsoft Entra Connect.

2. Passare ad AzureADConnect.msi e fare doppio clic per aprire il file di installazione.

3. Nella schermata di benvenuto selezionare la casella di controllo per accettare le condizioni di licenza e quindi selezionare Continua.

4. Nella schermata Impostazioni rapide selezionare Personalizza.

5. In Installazione dei componenti necessari selezionare Installa.

6. In Accesso utente selezionare Federazione tramite AD FS e quindi selezionare Avanti.

   

7. In Connetti a Microsoft Entra ID immettere il nome utente e la password dell'account amministratore delle identità ibride creato in precedenza e quindi selezionare Avanti.

8. In Connessione delle directory selezionare Aggiungi directory. Selezionare quindi Crea un nuovo account AD, immettere il nome utente e la password di contoso\Administrator. Seleziona OK.

9. Selezionare Avanti.

10. In Configurazione dell'accesso a Microsoft Entraselezionare Continua senza corrispondenza di tutti i suffissi UPN con domini verificati. Selezionare Avanti.

11. In Filtro di domini e unità organizzative selezionare Avanti.

12. In Identificazione univoca per gli utenti selezionare Avanti.

13. In Filtro utenti e dispositivi selezionare Avanti.

14. In Funzionalità facoltative selezionare Avanti.

15. In Credenziali dell'amministratore di dominio immettere il nome utente e la password di contoso\Administrator e selezionare Avanti.

16. In Farm AD FS assicurarsi che l'opzione Configura una nuova farm AD FS sia selezionata.

17. Selezionare Usa un certificato installato nei server federativi e quindi selezionare Sfoglia.

18. Nella casella di ricerca immettere DC1 e selezionarlo nei risultati della ricerca. Seleziona OK.

19. Per File di certificato selezionare il certificato adfs.contoso.com creato. Selezionare Avanti.

    

20. In Server AD FS, seleziona Sfoglia. Nella casella di ricerca immettere DC1 e selezionarlo nei risultati della ricerca. Seleziona OK e quindi Avanti.

    

21. Nel server proxy dell'applicazione Web, selezionare Avanti.

22. In Account del servizio AD FS immettere il nome utente e la password di contoso\Administrator e selezionare Avanti.

23. In Dominio di Microsoft Entra selezionare il dominio personalizzato verificato e quindi selezionare Avanti.

24. In Pronto per la configurazione selezionare Installa.

25. Al termine dell'installazione, selezionare Esci.

26. Prima di usare Synchronization Service Manager o l'Editor delle regole di sincronizzazione, esegui il logout e poi effettua nuovamente il login.

Verificare la presenza di utenti nel portale

A questo punto si verificherà che gli utenti nel tenant di Active Directory locale siano sincronizzati e si trovino nel tenant di Microsoft Entra. Il completamento di questa sezione potrebbe richiedere alcune ore.

Per verificare che gli utenti siano sincronizzati:

1. Accedi al Centro di amministrazione di Microsoft Entra come almeno un Amministratore delle identità ibride.

2. Passare a Identità>Utenti>Tutti gli utenti

3. Verificare che i nuovi utenti siano presenti nel tenant.

   

Accedere con un account utente per testare la sincronizzazione

Per testare che gli utenti del tenant di Windows Server AD siano sincronizzati con il tenant di Microsoft Entra, accedere come uno degli utenti:

1. Vai a https://myapps.microsoft.com.

2. Accedi con un account utente creato nel tuo nuovo tenant.

   Per il nome utente usare il formato user@domain.onmicrosoft.com. Usare la stessa password usata dall'utente per accedere ad Active Directory locale.

La configurazione di un ambiente di gestione delle identità ibride è stata completata. A questo punto è possibile usare questo ambiente a scopo di test o per acquisire familiarità con le funzionalità di Azure.

Passaggi successivi

• Consultare Hardware e prerequisiti di Microsoft Entra Connect.
• Informazioni su come usare le impostazioni personalizzate in Microsoft Entra Connect.
• Altre informazioni su Microsoft Entra Connect e federazione.