Configurare Microsoft Entra prerequisiti di Connect Sync

Completato

Le sezioni seguenti descrivono i prerequisiti che devono essere soddisfatti prima di installare Microsoft Entra Connect Sync.

Importante

Azure Active Directory (Azure AD) è ora Microsoft Entra ID. Altre informazioni.

Microsoft Entra ID

• È necessario un tenant Microsoft Entra. Ne viene ottenuto uno con una versione di valutazione gratuita di Azure. È possibile usare uno dei portali seguenti per gestire Microsoft Entra Connect Sync:

  • Il Interfaccia di amministrazione di Microsoft Entra
  • Portale di Office

• Aggiungere e verificare il dominio che si prevede di usare in Microsoft Entra ID. Ad esempio, se si prevede di usare contoso.com per gli utenti, verificare di usare questo dominio e non solo il dominio predefinito contoso.onmicrosoft.com.

• Un tenant Microsoft Entra consente, per impostazione predefinita, 50.000 oggetti. Quando si verifica il dominio, il limite aumenta a 300.000 oggetti. Se sono necessari altri oggetti in Microsoft Entra ID, aprire un caso di supporto per aumentare ulteriormente il limite. Se sono necessari più di 500.000 oggetti, è necessaria una licenza, ad esempio Microsoft 365, Microsoft Entra ID P1 o P2 o Enterprise Mobility + Security.

Preparare i dati locali

• Usare IdFix per identificare errori come duplicati e problemi di formattazione nella directory prima di eseguire la sincronizzazione con Microsoft Entra ID e Microsoft 365.
• Esaminare le funzionalità di sincronizzazione facoltative che è possibile abilitare in Microsoft Entra ID e valutare le funzionalità da abilitare.

Active Directory locale

• La versione dello schema di Active Directory e il livello di funzionalità della foresta devono essere Windows Server 2003 o versioni successive. I controller di dominio possono eseguire qualsiasi versione purché siano soddisfatti i requisiti relativi alla versione dello schema e a livello di foresta. Potrebbe essere necessario un programma di supporto a pagamento se è necessario il supporto per i controller di dominio che eseguono Windows Server 2016 o versioni precedenti.
• Il controller di dominio usato da Microsoft Entra ID deve essere scrivibile. L'uso di un controller di dominio di sola lettura non è supportato e Microsoft Entra Connect Sync non segue reindirizzamenti di scrittura.
• L'uso di foreste o domini locali usando nomi NetBIOS "punteggiati" (in cui il nome contiene un punto) non sono supportati.
• Microsoft consiglia di abilitare il Cestino di Active Directory.

Criteri di esecuzione di PowerShell

• Microsoft Entra Connect Sync esegue script di PowerShell firmati come parte dell'installazione. Verificare che i criteri di esecuzione di PowerShell consentano l'esecuzione di script.
• I criteri di esecuzione consigliati durante l'installazione sono "RemoteSigned".
• Per altre informazioni sull'impostazione dei criteri di esecuzione di PowerShell, vedere Set-ExecutionPolicy.

Microsoft Entra connect sync server

Il server di connessione Microsoft Entra contiene dati di identità critici. È importante che l'accesso amministrativo a questo server sia protetto correttamente.

• Microsoft non supporta la sincronizzazione da più server di sincronizzazione attivi Microsoft Entra ID Connect Sync a un singolo tenant. Tuttavia, è possibile installare server aggiuntivi in modalità di staging per ottenere ridondanza ed accelerare il ripristino da errori. La modalità di staging viene esaminata in una sezione successiva di questa unità di training.
• Il server di connessione Microsoft Entra deve essere considerato come componente di livello 0 come documentato nel modello di livello di amministrazione di Active Directory.
• Microsoft consiglia di applicare la protezione avanzata al server di sincronizzazione Microsoft Entra Connect come asset del piano di controllo seguendo le indicazioni fornite in Accesso con privilegi sicuri.
• Per altre informazioni sulla protezione dell'ambiente Active Directory, vedere Procedure consigliate per la protezione di Active Directory.

prerequisiti di installazione del server di sincronizzazione di Microsoft Entra Connect

Prima di installare Microsoft Entra Connect Sync, le organizzazioni devono soddisfare i prerequisiti seguenti:

• Microsoft Entra Connect Sync offre la flessibilità necessaria per la distribuzione in diversi tipi di server, inclusi controller di dominio, server membri o server non aggiunti a un dominio. La progettazione fornisce funzionalità di autenticazione e controllo di accesso indipendentemente dallo stato del dominio del server. Questa versatilità consente alle organizzazioni di utilizzare Microsoft Entra Connect Sync in una gamma di configurazioni di rete, anche in scenari autonomi meno diffusi in cui i server operano indipendentemente da un dominio. Ad esempio, in cui è configurata una rete di gestione distinta o un'organizzazione impiega sistemi esterni.

• Microsoft Entra Connect Sync deve essere installato nei server che eseguono Windows Server 2016 o versioni successive. Microsoft consiglia di usare Windows Server 2022. Tenere presente che Windows Server 2016 è in supporto esteso. Di conseguenza, se si distribuisce Microsoft Entra Connect Sync in Windows Server 2016, potrebbe essere necessario un programma di supporto a pagamento se è necessario il supporto per questa configurazione.

• La versione minima di .NET Framework necessaria è 4.6.2 e sono supportate anche le versioni più recenti di .NET. .NET versione 4.8 e successive offre la migliore conformità all'accessibilità.

• Non è possibile installare Microsoft Entra Connect Sync in Small Business Server o Windows Server Essentials prima del 2019 (Windows Server Essentials 2019 è supportato). Il server deve usare Windows Server standard o superiore.

• Nel server di connessione Microsoft Entra deve essere installata una GUI completa. L'installazione di Microsoft Entra Connect Sync in Windows Server Core non è supportata.

• Il server di connessione Microsoft Entra non può avere la trascrizione di PowerShell Criteri di gruppo abilitata se si usa la procedura guidata di connessione guidata Microsoft Entra connect per gestire la configurazione di Active Directory Federation Services (AD FS). È possibile abilitare la trascrizione di PowerShell se si usa l'Microsoft Entra Connect Sync wizard per gestire la configurazione della sincronizzazione.

• Se si prevede di distribuire AD FS:

  • I server in cui è stato installato AD FS o Application Proxy Web devono essere Windows Server 2012 R2 o versioni successive.
  • È necessario abilitare la gestione remota di Windows in questi server per l'installazione remota.
  • È necessario configurare i certificati TLS/SSL. Per altre informazioni, vedere Gestione di protocolli SSL/TLS e suite di crittografia per AD FS e Gestione dei certificati SSL in AD FS.
  • È necessario configurare la risoluzione dei nomi.

• Non è possibile interrompere e analizzare il traffico tra Microsoft Entra Connect Sync e Microsoft Entra ID. Questa azione non è supportata e questa operazione può interrompere il servizio.

• Se gli amministratori delle identità ibride hanno abilitato l'autenticazione a più fattori, l'URL https://secure.aadcdn.microsoftonline-p.com deve essere incluso nell'elenco siti attendibili. Questo URL è il sito di rendering del contenuto per gli account di accesso di Microsoft Office quando si usa MFA. Quando si riceve una richiesta di autenticazione a più fattori e non è stato aggiunto in precedenza questo sito all'elenco dei siti attendibili, il sistema richiede di aggiungerlo. È possibile usare Internet Explorer o Microsoft Edge per aggiungerlo ai siti attendibili.

  Nota

  Se si tenta di accedere a questo URL, viene visualizzato un errore. Questo errore è previsto, poiché l'URL non è destinato ad essere accessibile direttamente dagli utenti. Viene invece usato dai servizi Microsoft in background per facilitare i processi di autenticazione sicura.

• Se si prevede di usare Microsoft Entra Connect Health per la sincronizzazione, assicurarsi di soddisfare i prerequisiti per Microsoft Entra Connect Health. Per altre informazioni, vedere Microsoft Entra installazione dell'agente connect health.

Proteggere il server di sincronizzazione Microsoft Entra Connect

Microsoft consiglia alle organizzazioni di rendere più avanzata la Microsoft Entra server Connect Sync per ridurre la superficie di attacco di sicurezza per questo componente critico dell'ambiente IT. È consigliabile seguire questi consigli per attenuare alcuni rischi per la sicurezza per l'organizzazione.

• Microsoft consiglia di proteggere il server di connessione Microsoft Entra come asset del piano di controllo (in precedenza livello 0) seguendo le indicazioni fornite nel modello di accesso con privilegi sicuri e livello di amministrazione di Active Directory.
• Limitare l'accesso amministrativo al server Microsoft Entra Connect solo agli amministratori di dominio o ad altri gruppi di sicurezza strettamente controllati.
• Creare un account dedicato per tutto il personale con accesso con privilegi. Gli amministratori non devono esplorare il Web, controllare la posta elettronica e svolgere attività quotidiane di produttività con account con privilegi elevati.
• Nega l'uso dell'autenticazione NTLM con il server di sincronizzazione Microsoft Entra Connect. È possibile eseguire questa azione limitando NTLM nel server AADConnect e limitando NTLM in un dominio
• Assicurarsi che ogni computer disponga di una password di amministratore locale univoca. Per altre informazioni, vedere Local Administrator Password Solution (Windows LAPS).For more information, see Local Administrator Password Solution (Windows LAPS). LAPS è una funzionalità di Windows che gestisce e esegue automaticamente il backup della password di un account amministratore locale nei dispositivi aggiunti a Microsoft Entra o Windows Server Active Directory. È anche possibile usare Windows LAPS per gestire ed eseguire automaticamente il backup della password dell'account della modalità ripristino servizi directory (DSRM) nei controller di dominio Windows Server Active Directory. Un amministratore autorizzato può recuperare la password DSRM e usarla. Altre indicazioni per il funzionamento di un ambiente con WINDOWS LAPS e workstation con accesso con privilegi (PAW) sono disponibili negli standard operativi basati sul principio di origine pulita.
• Implementare workstation con accesso con privilegi dedicati per tutto il personale con accesso con privilegi ai sistemi informativi dell'organizzazione.
• Seguire queste linee guida aggiuntive per ridurre la superficie di attacco dell'ambiente Active Directory locale.
• Seguire le modifiche di Monitoraggio alla configurazione della federazione per configurare gli avvisi per monitorare le modifiche all'attendibilità stabilita tra l'Idp e Microsoft Entra ID.
• Abilitare l'autenticazione a più fattori (MFA) per tutti gli utenti con accesso con privilegi in Microsoft Entra ID o nel Active Directory locale. Perché l'abilitazione dell'autenticazione a più fattori è così importante? Si supponga che un utente malintenzionato riesca a reimpostare la password di un utente usando la sincronizzazione di Microsoft Entra Connect. In questo modo, l'utente malintenzionato può ottenere il controllo sul server connect sync Microsoft Entra, da cui è possibile modificare gli utenti in Microsoft Entra ID. Tuttavia, abilitando l'autenticazione a più fattori per tutti gli utenti con accesso con privilegi in Microsoft Entra ID o nel Active Directory locale, è possibile impedire all'utente malintenzionato di usare le informazioni sulla password utente per assumere il controllo degli account Microsoft Entra. MFA impedisce questo tipo di attacco perché l'utente malintenzionato non può ignorare il secondo fattore di autenticazione.
• Disabilitare la corrispondenza temporanea nel tenant. La corrispondenza temporanea è un'ottima funzionalità che consente di trasferire l'origine dell'autorità per gli oggetti gestiti dal cloud esistenti in Microsoft Entra Connect Sync, ma comporta alcuni rischi per la sicurezza. Se non è necessario, è consigliabile disabilitare la corrispondenza temporanea.
• Disabilitare l'acquisizione di Hard Match. L'acquisizione di corrispondenza rigida consente a Microsoft Entra Connect Sync di assumere il controllo di un oggetto gestito dal cloud e di modificare l'origine dell'autorità per l'oggetto in Active Directory. Dopo Microsoft Entra Connect Sync rileva l'origine dell'autorità di un oggetto, le modifiche apportate all'oggetto Active Directory collegato all'oggetto Microsoft Entra sovrascrivono i dati Microsoft Entra originali, incluso l'hash della password quando è abilitata la sincronizzazione hash password. Un utente malintenzionato potrebbe usare questa funzionalità per assumere il controllo degli oggetti gestiti dal cloud. Per attenuare questo rischio, disabilitare l'acquisizione delle corrispondenze difficili.

Microsoft Entra Connect Sync in modalità di staging

In precedenza è stato indicato che Microsoft non supporta più di un server connect sync attivo Microsoft Entra connesso a un singolo tenant Microsoft Entra o Microsoft 365. Esiste un'eccezione a questa regola, ovvero quando un'organizzazione distribuisce un ambiente in modalità di gestione temporanea. In modalità di gestione temporanea, le organizzazioni possono distribuire più di un Microsoft Entra server Connect Sync connesso a un singolo Microsoft Entra o a un tenant di Microsoft 365. Tuttavia, solo uno di questi server può essere il server "attivo" Microsoft Entra Connect Sync. Gli altri server assumono il ruolo di server di gestione temporanea. Microsoft Entra i server di gestione temporanea di Connect Sync vengono spesso usati come parte di una strategia per la disponibilità elevata, il test, la distribuzione di nuove modifiche alla configurazione e il ripristino di emergenza.

Un server di staging Microsoft Entra Connect Sync viene configurato in parallelo con il server di sincronizzazione di connessione Microsoft Entra attivo. Tuttavia, il server di staging non esegue alcuna modifica o sincronizzazione con Microsoft Entra ID. Viene usato per testare e convalidare le modifiche di configurazione, assicurandosi che funzionino come previsto prima di essere applicato all'ambiente di produzione.

I motivi principali per cui si usa un server di staging durante la distribuzione di un server di sincronizzazione di connessione Microsoft Entra attivo sono:

• Disponibilità elevata. Disponendo di un server di staging, è possibile testare le modifiche senza influire sull'ambiente di produzione, garantendo che i servizi rimangano disponibili e ininterrotti.
• Test delle modifiche alla configurazione. Prima di apportare modifiche al server attivo Microsoft Entra Connect Sync, è possibile implementarle e testarle nel server di staging per verificarne l'impatto. Questa progettazione consente di identificare e risolvere i potenziali problemi in modo controllato.
• Ripristino di emergenza. In caso di problemi con il server di sincronizzazione della connessione Microsoft Entra attivo, è possibile promuovere il server di gestione temporanea in modo che prenda il controllo, riducendo al minimo i tempi di inattività e l'interruzione del servizio.
• Migrazione e aggiornamenti. Durante la migrazione di Microsoft Entra Connect Sync a un nuovo server o l'applicazione di aggiornamenti, il server di staging consente di preparare e testare queste modifiche senza influire sul processo di sincronizzazione corrente.
• Ambiente sicuro. Il server di gestione temporanea offre un ambiente sicuro per apportare e testare le modifiche senza il rischio di influire sulla sincronizzazione di Active Directory con Microsoft Entra ID.

Nota

Quando si esegue Microsoft Entra Connect Sync in modalità di staging, non esegue la sincronizzazione dell'hash delle password o il writeback delle password fino a quando non viene promosso dalla modalità di staging.

In modalità di gestione temporanea, le organizzazioni possono avere più Microsoft Entra server di staging Connect Sync. In questa progettazione vengono in genere configurati in modo che sia attivo un solo server di staging alla volta, mentre i server di staging inattivi rimanenti sono pronti per assumere il controllo, se necessario. In altre parole, solo uno sta eseguendo il ruolo di un server di staging Microsoft Entra Connect Sync in un determinato momento. I server di gestione temporanea inattivi fungono da backup (considerati come backup per il backup), pronti per assumere il ruolo del server di staging attivo in caso di errore o devono essere portati offline per la manutenzione o gli aggiornamenti.

Questa progettazione garantisce che sia sempre disponibile un server di gestione temporanea pronto a intervenire e mantenere la continuità del processo di staging, che è fondamentale per testare e convalidare le modifiche prima che vengano applicate all'ambiente di produzione. Si consideri una gara di inoltro in cui un solo runner (il server di staging attivo) è in esecuzione alla volta, ma gli altri runner (i server di staging inattivi) sono pronti a prendere il testimone, se necessario. La distribuzione di un ambiente in modalità di gestione temporanea costituito da più server di gestione temporanea offre la massima resilienza e disponibilità elevata per il processo di sincronizzazione con Microsoft Entra o Microsoft 365.

SQL Server usato da Microsoft Entra Connect Sync

Microsoft Entra Connect Sync richiede un database SQL Server per archiviare i dati di identità. Per impostazione predefinita, viene installato un SQL Server 2019 Express LocalDB (una versione light di SQL Server Express). SQL Server Express ha un limite di 10 GB di dimensioni che consente di gestire circa 100.000 oggetti.

• Se l'organizzazione gestisce un volume più elevato di oggetti directory, puntare l'installazione guidata a un'installazione diversa di SQL Server. Il tipo di installazione SQL Server può influire sulle prestazioni di Microsoft Entra Connect Sync.

• Se si usa un'installazione diversa di SQL Server, si applicano i requisiti seguenti:

  • Microsoft Entra Connect Sync supporta tutte le versioni SQL Server supportate mainstream fino a SQL Server 2022 in esecuzione in Windows. Fare riferimento a questo articolo SQL Server ciclo di vita per verificare lo stato del supporto della versione di SQL Server. SQL Server 2012 non è più supportato. Azure SQL database e Istanza gestita di SQL di Azure non sono supportati come database.
  • È necessario usare regole di confronto SQL senza distinzione tra maiuscole e minuscole. Queste regole di confronto sono identificate con _CI_ nel nome. L'uso di regole di confronto con distinzione tra maiuscole e minuscole identificate da _CS_ nel nome non è supportato.
  • È possibile avere un solo motore di sincronizzazione per ogni istanza di SQL. Un'istanza di SQL non può essere condivisa con FIM/MIM Sync, DirSync o Microsoft Entra Connect Sync.

Account

• È necessario creare un account amministratore globale Microsoft Entra o un account amministratore identità ibrido per il tenant Microsoft Entra con cui si vuole eseguire l'integrazione. Questo account deve essere un account dell'istituto di istruzione o dell'organizzazione e non può essere un account Microsoft.
• Se si usano impostazioni rapide o si esegue l'aggiornamento da DirSync, è necessario creare un account amministratore dell'organizzazione per il Active Directory locale.
• Se si usa il percorso di installazione delle impostazioni personalizzate, vedere Impostazioni di installazione personalizzate per informazioni su altre opzioni.

Connettività

Il server di connessione Microsoft Entra richiede la risoluzione DNS sia per Intranet che per Internet. Il server DNS deve essere in grado di risolvere i nomi sia nel Active Directory locale che negli endpoint Microsoft Entra.

• Microsoft Entra Connect Sync richiede la connettività di rete a tutti i domini configurati.
• Microsoft Entra Connect Sync richiede la connettività di rete al dominio radice di tutte le foreste configurate.
• Se nella intranet sono presenti firewall ed è necessario aprire le porte tra i server di sincronizzazione Microsoft Entra Connect e i controller di dominio, vedere Microsoft Entra Connetti porte.
• Se si usa il cloud Microsoft in Germania o microsoft Azure per enti pubblici cloud, vedere Microsoft Entra Considerazioni sulle istanze del servizio Connect Sync per gli URL.
• Se il proxy o il firewall limita gli URL a cui è possibile accedere, è necessario aprire gli URL documentati in Office 365 URL e intervalli di indirizzi IP. Vedere anche Safelist the Interfaccia di amministrazione di Microsoft Entra URL nel firewall o nel server proxy.
• Microsoft Entra Connect Sync (versione 1.1.614.0 e successive) per impostazione predefinita usa TLS 1.2 per crittografare la comunicazione tra il motore di sincronizzazione e Microsoft Entra ID. Se TLS 1.2 non è disponibile nel sistema operativo sottostante, Microsoft Entra Connect Sync rientra in modo incrementale nei protocolli meno recenti (TLS 1.1 e TLS 1.0). Da Microsoft Entra Connect Sync versione 2.0 in poi, TLS 1.0 e 1.1 non sono più supportati e l'installazione ha esito negativo se TLS 1.2 non è abilitato.
• Prima della versione 1.1.614.0, Microsoft Entra Connect Sync per impostazione predefinita usa TLS 1.0 per crittografare la comunicazione tra il motore di sincronizzazione e Microsoft Entra ID. Per passare a TLS 1.2, seguire la procedura descritta in Abilitare TLS 1.2 per Microsoft Entra Connect.
• Se si usa un proxy in uscita per la connessione a Internet, è necessario aggiungere l'impostazione seguente nel file C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config per l'installazione guidata e Microsoft Entra Connect Sync per connettersi a Internet e Microsoft Entra ID. Il testo deve essere immesso nella parte inferiore del file. In questo codice PROXYADDRESS<> rappresenta l'indirizzo IP o il nome host del proxy effettivo.