Installare il servizio Azure Active Directory Sync

Aggiornamento: 22 luglio 2015

Importante

Questo argomento verrà archiviato presto.
Esiste un nuovo prodotto denominato "Azure Active Directory Connessione" che sostituisce AADSync e DirSync.
Azure AD Connect include i componenti e le funzionalità resi disponibili in precedenza come DirSync e AAD Sync.
A un certo punto, il supporto per Dirsync e AAD Sync terminerà.
Questi strumenti non vengono più aggiornati singolarmente con miglioramenti delle funzionalità e tutti i miglioramenti futuri verranno inclusi negli aggiornamenti delle Connessione di Azure AD.

Per le informazioni più recenti sull'Azure Active Directory Connessione, vedere Integrazione delle identità locali con Azure Active Directory

Questo argomento fornisce tutte le informazioni necessarie per l'installazione di Azure AD Sync nell'ambiente in uso.

Requisiti di installazione

Questa sezione specifica tutti i requisiti che devono essere soddisfatti per l'installazione di Azure AD Sync nell'ambiente in uso.
Azure AD Sync consente di integrare Servizi di dominio Active Directory locale con la directory di Azure AD.
A questo scopo, è necessario accedere a Servizi di dominio Active Directory locale, nonché a una sottoscrizione di Azure valida in cui è installata una directory di Azure AD.

Per installare Azure AD Sync, è necessario un computer che esegue il sistema operativo Windows Server.
Sono supportate le versioni seguenti:

• Windows Server 2008

• Windows Server 2008 R2

• Windows Server 2012

• Windows Server 2012 R2

Il computer può essere un computer autonomo, un server membro o un controller di dominio.
È necessario installare i componenti seguenti:

• .Net 4.5.1

• PowerShell (PS3 o versione successiva)

Per installare Azure AD Sync, è necessario un account con privilegi di amministratore locale nel computer.

Azure AD Sync richiede un database SQL Server per archiviare i dati di identità. Per impostazione predefinita, viene installato un database locale di SQL Express (una versione light di SQL Server Express) e viene creato un account del servizio nel computer locale.
SQL Server Express prevede un limite di dimensioni pari a 10 GB che consente di gestire approssimativamente 100.000 oggetti.

Se è necessario gestire un numero di oggetti directory più elevato, sarà necessario installare una versione di SQL Server diversa.
AAD Sync supporta tutte le versioni di Microsoft SQL Server da SQL Server 2008 a SQL Server 2014.

Prima di iniziare

Prima di installare Azure AD Sync è necessario avere completato le procedure seguenti:

1. Creare un account AD per la connessione a Servizi di dominio Active Directory

2. Creare un account per la connessione ad Azure Active Directory

Le sezioni seguenti illustrano le procedure necessarie.

Creare un account AD per la connessione a Servizi di dominio Active Directory

Quando si configura Azure AD Sync, è necessario fornire le credenziali di un account usato da Azure AD Sync per la connessione a Servizi di dominio Active Directory.
Poiché l'account richiede solo le autorizzazioni di lettura predefinite, è possibile usare un account utente normale.

Le sezioni seguenti forniscono altri dettagli sulle autorizzazioni richieste dall'account Servizi di dominio Active Directory e sugli attributi a cui deve avere accesso

Autorizzazioni per la sincronizzazione password

Per abilitare per gli utenti la sincronizzazione password tra Servizi di dominio Active Directory locale e Azure Active Directory, è necessario concedere le autorizzazioni seguenti all'account usato da Azure AD Sync per la connessione a Servizi di dominio Active Directory:

• Replica modifiche directory

• Replica di tutte le modifiche directory

Entrambe le autorizzazioni sono necessarie per permettere all'account di leggere hash di password da Servizi di dominio Active Directory locale.

Attributi e autorizzazioni di writeback di AAD Sync per la distribuzione ibrida di Exchange con Office 365

Per abilitare la coesistenza avanzata tra l'infrastruttura locale di Exchange e Office 365 (Exchange Hybrid), selezionare la funzionalità facoltativa Distribuzione ibrida di Exchange. Quando si seleziona questa funzionalità, si abilita AAD Sync al writeback di attributi nell'ambiente locale.

La tabella seguente illustra gli argomenti che richiedono il writeback in base al tipo di oggetto:

Tipo oggetto	Attributo origine dati
Contatto	proxyAddresses
Gruppo	proxyAddresses
User/InetOrgPerson	msExchArchiveStatus
	msExchBlockedSendersHash
	msExchSafeRecipientsHash
	msExchSafeSendersHash
	msExchUCVoiceMailSettings
	msExchUserHoldPolicies
	proxyAddresses

L'account configurato nel Connessione per Active Directory Domain Services finestra di dialogo deve disporre di autorizzazioni specifiche per gli attributi precedenti.

La tabella seguente illustra il set di autorizzazioni minime necessarie per questo account del servizio usando la nomenclatura DSACLS.

Tipo oggetto	Attributo origine dati	Autorizzazione / Diritto di accesso	Ereditarietà
Contatto	proxyAddresses	Scrittura	Solo oggetti figlio
Gruppo	proxyAddresses	Scrittura	Solo oggetti figlio
User/InetOrgPerson	msExchArchiveStatus	Scrittura	Solo oggetti figlio
	msExchBlockedSendersHash	Scrittura	Solo oggetti figlio
	msExchSafeRecipientsHash	Scrittura	Solo oggetti figlio
	msExchSafeSendersHash	Scrittura	Solo oggetti figlio
	msExchUCVoiceMailSettings	Scrittura	Solo oggetti figlio
	msExchUserHoldPolicies	Scrittura	Solo oggetti figlio
	proxyAddresses	Scrittura	Solo oggetti figlio

Autorizzazioni per il writeback e la modifica della password.

La funzionalità di writeback delle password fornisce agli utenti un metodo semplice per la reimpostazione delle password locali nel cloud. Durante la configurazione di Azure AD Sync è possibile attivare il writeback delle password come funzionalità facoltativa.

Per ogni foresta configurata in Azure AD Sync, è necessario concedere all'account specificato per una foresta nella procedura guidata i diritti estesi "Reimposta password" e "Cambia password" sull'oggetto radice di ogni dominio nella foresta. I diritti devono essere contrassegnati come ereditati da tutti gli oggetti utente.

Usare la procedura seguente per configurare le autorizzazioni on ognuno degli account configurati.

Come configurare i diritti estesi "Reimposta password" e "Modifica password"

1. Aprire Utenti e computer di Active Directory

2. Nella parte superiore, sotto Visualizza, assicurarsi che l'opzione Funzionalità avanzate sia attivata.

3. A sinistra fare clic con il pulsante destro del mouse sul dominio radice, quindi scegliere Proprietà.

4. Selezionare la scheda Sicurezza e fare clic su Avanzate.

   

5. Nella scheda Autorizzazioni fare clic su Aggiungi.

   

6. Fare clic su Seleziona un'entità e selezionare l'account specificato durante l'installazione.

7. Nell'elenco a discesa selezionare Oggetti Utente discendenti.

8. Nella sezione Autorizzazioni selezionare Reimposta password e Cambia password.

   

9. Fare clic su OK. Fare clic su Applica. Fare clic su OK.

Creare un account per la connessione ad Azure Active Directory

Quando si configura Azure AD Sync, è necessario fornire le credenziali di un account usato da Azure AD Sync per la connessione ad Azure Active Directory.

È necessario applicare le procedure consigliate seguenti all'account:

• È necessario creare un account distinto che viene usato solo da Azure AD Sync.

• È necessario configurare l'account con una password complessa di 16 caratteri.

• È necessario impostare il flag "Nessuna scadenza Password" dell'account.
  Per completare questa attività, è possibile usare il seguente codice script di PowerShell:

  set-msoluser -UserPrincipalName syncaccount@contoso.com -PasswordNeverExpires $True
  

• Come ruolo dell'organizzazione per l'account deve essere selezionato Amministratore globale.

  

Installazione e configurazione di Azure AD Sync

È possibile scaricare la versione più recente di Azure AD Sync usando il collegamento seguente:https://go.microsoft.com/fwlink/?LinkId=511690

Per iniziare il processo di installazione, avviare l'eseguibile denominato MicrosoftAzureADConnectionTool.exe.
L'eseguibile autoestraente colloca tutti i file necessari nell'unità locale e avvia il processo di installazione.
Se si annulla la procedura di installazione, verrà creato un collegamento nel menu Start e sul desktop.

Se occorre usare SQL Server o un account di dominio per l'account del servizio, è necessario annullare la procedura guidata in questo momento. A questo punto, il processo di installazione ha già creato una cartella locale contenente i file relativi ad Azure AD Sync. Per eseguire di nuovo il processo di installazione con i parametri, è necessario il contenuto di questa cartella.

Per eseguire di nuovo il processo di installazione, eseguire la procedura seguente:

1. Aprire un prompt dei comandi e passare a C:\Programmi\Microsoft Azure AD Connection Tool.

2. Avviare di nuovo la procedura guidata con i parametri seguenti:

   DirectorySyncTool.exe /sqlserver localhost
                         /sqlserverinstance InstanceName
                         /serviceAccountDomain Azure AD Sync
                         /serviceAccountName Azure AD SyncSvc
                         /serviceAccountPassword VerySecretP@ssw0rd
   

   Nota

   Se si vuole usare la partizione SQL predefinita, non specificare questo parametro.

A questo punto, è possibile completare le finestre di dialogo associate al processo di installazione.

Per installare lo strumento Azure AD Sync, completare le finestre di dialogo seguenti:

1. Installazione

2. Connessione ad Azure Active Directory

3. Connessione a Servizi di dominio Active Directory

4. Configura corrispondenza utenti

5. Funzionalità facoltative

6. App di Azure AD

7. Attributi di Azure AD

8. Pronto per la configurazione

9. Finished

Installazione

Il primo passaggio del processo di installazione prevede l'accettazione delle condizioni di licenza e la definizione del percorso di Azure AD Sync.

Connessione ad Azure Active Directory

Per la connessione a una directory di Azure AD, lo strumento Azure AD Sync deve usare le credenziali di un account con autorizzazioni sufficienti.

Per altre informazioni, vedere Creare un account per connettersi ad Azure AD.

Connessione a Servizi di dominio Active Directory

Per la connessione a Servizi di dominio Active Directory, lo strumento Azure AD Sync deve usare le credenziali di un account con autorizzazioni sufficienti.

Per altre informazioni, vedere Creare un account AD per connettersi ad Active Directory Domain Services.

Configura corrispondenza utenti

In questa pagina è necessario configurare le opzioni seguenti:

1. Corrispondenza tra foreste

2. Corrispondenza con Azure AD

Corrispondenza tra foreste

La funzionalità Corrispondenza tra foreste consente di definire il modo in cui gli utenti delle foreste di Servizi di dominio Active Directory sono rappresentati in Azure AD.
Un utente può essere rappresentato solo una volta in tutte le foreste oppure disporre di una combinazione di account abilitati e disabilitati.

Impostazione	Descrizione
Utenti rappresentati solo una volta tra tutte le foreste	Tutti gli utenti vengono creati come singoli oggetti in Azure AD. Gli oggetti non vengono uniti nel metaverse.
Attributo posta	Questa opzione unisce utenti e contatti se l'attributo di posta ha lo stesso valore in foreste diverse. È consigliabile usare questa opzione se i contatti sono stati creati tramite GALSync.
ObjectSID e msExchangeMasterAccountSID	Questa opzione consente di abbinare un utente abilitato in una foresta di account a un utente disabilitato in una foresta delle risorse di Exchange. Corrisponde all'opzione Cassetta postale collegata in Exchange.
sAMAccountName e MailNickName	Questa opzione consente di abbinare gli attributi in cui si prevede di trovare l'ID di accesso per l'utente.
Attributo personalizzato	Questa opzione consente di selezionare un attributo personale. Limitazione in CTP: assicurarsi di selezionare un attributo che esiste già nel metaverse. Se si seleziona un attributo personalizzato, non sarà possibile completare la procedura guidata.

Corrispondenza con Azure AD

È possibile usare questa opzione per specificare l'attributo da usare per la federazione delle identità. L'attributo sourceAnchor è un attributo che non cambia nel corso della durata del ciclo di vita di un oggetto utente. Negli ambienti a foresta singola e nei quali l'account non viene mai spostato da una foresta all'altra, l'attributo objectGUID è un buon candidato. Se l'utente viene spostato da una foresta o un dominio all'altro, è necessario selezionare un attributo alternativo.

L'attributo userPrincipalName costituisce l'ID di accesso dell'utente in Azure AD. Per impostazione predefinita, in Servizi di dominio Active Directory viene usato l'attributo userPrincipalName. Se questo attributo non è instradabile o non è adatto come ID di accesso, è possibile selezionare un attributo alternativo, ad esempio Mail, nella guida all'installazione.

Funzionalità facoltative

Se si usa una distribuzione ibrida di Exchange, selezionare questa casella di controllo. Verrà eseguito il writeback di alcuni attributi da Exchange online ad Active Directory locale.

Il writeback della password è una funzionalità di Azure Active Directory Premium. Per altre informazioni su come configurare questa operazione, vedere https://blogs.technet.com/b/ad/archive/2014/04/29/deep-dive-password-reset-with-on-premise-sync-in-azure-ad-premium.aspx.

Per verificare o limitare gli attributi sincronizzati con Azure AD, selezionare Filtro attributi e app di Azure AD. Verranno aggiunte altre due pagine alla procedura guidata.

Per altre informazioni sulla sincronizzazione delle password, vedere Implementare la sincronizzazione delle password con sincronizzazione Azure Active Directory

App di Azure AD

Per limitare gli attributi da sincronizzare con Azure AD, selezionare i servizi in uso. Se si configura questa pagina, ogni nuovo servizio dovrà essere selezionato in modo esplicito eseguendo di nuovo la guida all'installazione.

Attributi di Azure AD

A seconda dei servizi selezionati nel passaggio precedente, questa pagina mostrerà tutti gli attributi che verranno sincronizzati. Questo elenco è una combinazione di tutti i tipi di oggetti da sincronizzare. È possibile deselezionare gli attributi specifici che non devono essere sincronizzati. Nell'immagine precedente, gli attributi extensionAttributes e homePhone sono stati deselezionati e non verranno sincronizzati con Azure AD.

Pronto per la configurazione

Questa pagina fornisce un riepilogo della configurazione. Verificare attentamente il riepilogo prima di procedere alla pagina successiva.

Se in questo passaggio si verifica un errore di tipo "Impossibile comunicare con il servizio Windows Azure Active Directory" ed è stato configurato un server proxy, è consigliabile aggiungere le impostazioni del proxy al file "machine.config" del computer in cui è installato Azure AD Sync.
Per altri dettagli, vedere <Elemento proxy> (Network Impostazioni).

Finished

La configurazione predefinita è stata creata ed è ora possibile avviare la sincronizzazione. Al termine, fare clic su Fine.
Se è necessario configurare altre impostazioni prima di avviare la sincronizzazione, deselezionare la casella di controllo Sincronizza adesso prima di fare clic su Fine. Verrà creata un'attività disabilitata nell'utilità di pianificazione. Al termine della configurazione, per avviare la sincronizzazione periodica, abilitare questa attività.

Vedere anche

Concetti

sincronizzazione Azure Active Directory
Strumento di sincronizzazione di Azure Active Directory - Cronologia delle versioni
Implementare la sincronizzazione delle password con lo Strumento di sincronizzazione di Azure Active Directory

Risorse aggiuntive

Note sulla versione di Azure AD Sync