Panoramica dello scenario relativo allo Strumento di sincronizzazione di Azure Active Directory
Aggiornamento: 22 luglio 2015
Importante
Questo argomento verrà archiviato a breve.
Esiste un nuovo prodotto denominato "Azure Active Directory Connessione" che sostituisce AADSync e DirSync.
Azure AD Connect include i componenti e le funzionalità resi disponibili in precedenza come DirSync e AAD Sync.
A un certo punto in futuro, il supporto per Dirsync e AAD Sync terminerà.
Questi strumenti non vengono più aggiornati singolarmente con miglioramenti delle funzionalità e tutti i miglioramenti futuri verranno inclusi negli aggiornamenti di Azure AD Connessione.
In molte organizzazioni sono presenti ambienti che includono più foreste Active Directory locali. Esistono vari motivi per distribuire più di una foresta Active Directory locale. Tra gli esempi tipici sono incluse le progettazioni con foreste di risorse di account, foreste relative a fusioni e acquisizioni o foreste usate per la gestione esterna dei dati.
A questo scopo, Microsoft offre DirSync, una soluzione per scenari con singola foresta e una soluzione FIM (Forefront Identity Manager) per gli scenari con più foreste.
La configurazione di FIM può risultare complessa e richiedere una notevole quantità di tempo.
AADSync consente di semplificare la configurazione, rendendola più prevedibile.
Nella configurazione predefinita disponibile in AADSync si presuppone quanto segue:
Gli utenti dispongono solo di un account abilitato e la foresta in cui si trova l'account viene usata per la federazione dell'utente.
Gli utenti dispongono di una sola cassetta postale.
La foresta che ospita la cassetta postale dell'utente garantisce la migliore qualità dei dati per gli attributi visibili nell'Elenco indirizzi globale di Exchange.
Se non è presente una cassetta postale per l'utente, è possibile usare qualsiasi foresta per recuperare questi valori di attributi.
Questo argomento illustra alcuni scenari comuni e il modo in cui questi vengono rappresentati nel servizio di sincronizzazione di AADSync:
Tecnologie separate
A maglia completa con GALSync facoltativo
Foresta Account-Risorse
Nota
Questi scenari indirizzano direttamente alle pagine delle opzioni corrispondenti nella guida all'installazione.
Per altri dettagli, vedere Aggiunta all'account.
Tecnologie separate
In questo ambiente tutte le foreste locali sono considerate come entità separate e nessun utente di una foresta può essere incluso in un'altra foresta. Ogni foresta presenta un'organizzazione Exchange dedicata e non viene effettuata alcuna sincronizzazione dell'elenco di indirizzi globale (GALSync) tra le foreste. Questa situazione può verificarsi dopo una fusione/acquisizione o in un'organizzazione in cui ogni business unit opera in modo isolato rispetto alle altre.
.jpg "Separate Topologies")
In questa immagine ogni oggetto di ogni foresta verrà rappresentato una volta sola nello spazio metaverse e aggregato nella directory AAD di destinazione.
Il risultato è lo stesso che si otterrebbe con un server DirSync connesso a ogni foresta AD di origine.
A maglia completa con GALSync facoltativo
In una topologia a maglia completa utenti e risorse possono risiedere in qualsiasi foresta e in genere tra le foreste sono presenti trust bidirezionali.
Se Exchange è installato in più di una foresta, potrebbe essere presente una soluzione GALSync che rappresenta un utente in una foresta come un contatto in ogni altra foresta.
In questo scenario, gli oggetti relativi all'identità vengono aggiunti tramite l'attributo della posta. Di conseguenza, un utente con una cassetta postale in una foresta viene aggiunto ai contatti nelle altre foreste. I gruppi di distribuzione e di sicurezza sono presenti in ogni foresta e possono contenere una combinazione di utenti, contatti ed entità di sicurezza esterne.
La figura seguente descrive questo scenario.
.jpg "Full mesh with optional GALSync")
Foresta Account-Risorse
In una topologia di foresta account-risorse, sono presenti una o più foreste di account con account utente attivi. Questo scenario include una foresta che considera attendibili tutte le foreste di account. Questa foresta presenta in genere uno schema Active Directory esteso con Exchange e Lync. Tutti i servizi di Exchange e Lync, nonché altri servizi condivisi si trovano in questa foresta. Gli account utente degli utenti in questa foresta sono disabilitati e la cassetta postale è collegata alla foresta di account.
L'immagine seguente descrive questo scenario con un solo account.
.jpg "Account-Resource Forest")