Sincronizzazione in un dominio gestito di Azure Active Directory Domain ServicesSynchronization in an Azure AD Domain Services managed domain

Il diagramma seguente illustra il funzionamento della sincronizzazione nei domini gestiti di Azure Active Directory Domain Services.The following diagram illustrates how synchronization works in Azure AD Domain Services managed domains.

Topologia della sincronizzazione in Azure Active Directory Domain Services

Sincronizzazione dalla directory locale al tenant di Azure ADSynchronization from your on-premises directory to your Azure AD tenant

Il servizio di sincronizzazione Azure AD Connect viene usato per sincronizzare account utente, appartenenza a gruppi e hash delle credenziali nel tenant di Azure AD.Azure AD Connect sync is used to synchronize user accounts, group memberships, and credential hashes to your Azure AD tenant. Vengono sincronizzati gli attributi degli account utente, come l'UPN e l'ID di sicurezza (SID).Attributes of user accounts such as the UPN and on-premises SID (security identifier) are synchronized. Se si usa Azure Active Directory Domain Services, anche gli hash delle credenziali legacy richiesti per l'autenticazione NTLM e Kerberos vengono sincronizzati nel tenant di Azure AD.If you use Azure AD Domain Services, legacy credential hashes required for NTLM and Kerberos authentication are also synchronized to your Azure AD tenant.

Se si configura il writeback, le modifiche apportate alla directory di Azure AD vengono sincronizzate nell'istanza locale di Active Directory.If you configure write-back, changes occurring in your Azure AD directory are synchronized back to your on-premises Active Directory. Ad esempio, se si modifica la password usando le funzionalità di modifica delle password self-service di Azure AD, la password modificata viene aggiornata nel dominio locale di Active Directory.For example, if you change your password using Azure AD's self-service password change features, the changed password is updated in your on-premises AD domain.

Nota

Usare sempre la versione più recente di Azure AD Connect per ottenere le correzioni per tutti i bug noti.Always use the latest version of Azure AD Connect to ensure you have fixes for all known bugs.

Sincronizzazione dal tenant di Azure AD al dominio gestitoSynchronization from your Azure AD tenant to your managed domain

Account utente, appartenenza a gruppi e hash delle credenziali vengono sincronizzati dal tenant di Azure AD al dominio gestito di Azure Active Directory Domain Services.User accounts, group memberships, and credential hashes are synchronized from your Azure AD tenant to your Azure AD Domain Services managed domain. Questo processo di sincronizzazione è automatico,This synchronization process is automatic. non è quindi necessario configurarlo, monitorarlo o gestirlo.You do not need to configure, monitor, or manage this synchronization process. Dopo che la sincronizzazione iniziale occasionale della directory è stata completata, occorrono in genere circa 20 minuti perché le modifiche apportate in Azure AD diventino visibili nel dominio gestito.After the one-time initial synchronization of your directory is complete, it typically takes about 20 minutes for changes made in Azure AD to be reflected in your managed domain. Questo intervallo di sincronizzazione si applica a modifiche della password o a modifiche agli attributi apportati in Azure AD.This synchronization interval applies to password changes or changes to attributes made in Azure AD.

Il processo di sincronizzazione è anche di natura unidirezionale.The synchronization process is also one-way/unidirectional in nature. Il dominio gestito è in gran parte di sola lettura, ad eccezione delle eventuali unità organizzative personalizzate create.Your managed domain is largely read-only except for any custom OUs you create. Non è quindi possibile apportare modifiche agli attributi utente, alle password utente o all'appartenenza a gruppi all'interno del dominio gestito.Therefore, you cannot make changes to user attributes, user passwords, or group memberships within the managed domain. Di conseguenza, non viene eseguita alcuna sincronizzazione inversa delle modifiche dal dominio gestito al tenant di Azure AD.As a result, there is no reverse synchronization of changes from your managed domain back to your Azure AD tenant.

Sincronizzazione da un ambiente locale a più foresteSynchronization from a multi-forest on-premises environment

Molte organizzazioni hanno un'infrastruttura di identità locale piuttosto complessa composta da più foreste account.Many organizations have a fairly complex on-premises identity infrastructure consisting of multiple account forests. Azure AD Connect supporta la sincronizzazione di utenti, gruppi e hash delle credenziali da ambienti a più foreste nel tenant di Azure AD.Azure AD Connect supports synchronizing users, groups, and credential hashes from multi-forest environments to your Azure AD tenant.

Il tenant di Azure AD è invece uno spazio dei nomi piatto molto più semplice.In contrast, your Azure AD tenant is a much simpler and flat namespace. Per consentire agli utenti di accedere in modo affidabile ad applicazioni protette da Azure AD, risolvere i conflitti UPN tra gli account utente nelle varie foreste.To enable users to reliably access applications secured by Azure AD, resolve UPN conflicts across user accounts in different forests. Il dominio gestito di Azure Active Directory Domain Services somiglia molto al tenant di Azure AD.Your Azure AD Domain Services managed domain bears close resemblance to your Azure AD tenant. Nel dominio gestito viene perciò visualizzata una struttura di unità organizzative piatta.Therefore, you see a flat OU structure in your managed domain. Tutti gli utenti e i gruppi vengono archiviati nel contenitore "AADDC Users", indipendentemente dal dominio locale o dalla foresta da cui sono stati sincronizzati.All users and groups are stored within the 'AADDC Users' container, regardless of the on-premises domain or forest from which they were synced in. Anche se in locale è stata configurata una struttura gerarchica di unità organizzative,You may have configured a hierarchical OU structure on-premises. il dominio gestito presenta comunque una semplice struttura di unità organizzative piatta.However, your managed domain still has a simple flat OU structure.

Esclusioni: cosa non viene sincronizzato nel dominio gestitoExclusions - what isn't synchronized to your managed domain

Gli oggetti o attributi indicati di seguito non vengono sincronizzati nel tenant di Azure AD o nel dominio gestito:The following objects or attributes are not synchronized to your Azure AD tenant or to your managed domain:

  • Attributi esclusi: è possibile scegliere di escludere determinati attributi dalla sincronizzazione nel tenant di Azure AD dal dominio locale usando Azure AD Connect.Excluded attributes: You may choose to exclude certain attributes from synchronizing to your Azure AD tenant from your on-premises domain using Azure AD Connect. Gli attributi esclusi non sono disponibili nel dominio gestito.These excluded attributes are not available in your managed domain.
  • Criteri di gruppo: i criteri di gruppo configurati nel dominio locale non vengono sincronizzati nel dominio gestito.Group Policies: Group Policies configured in your on-premises domain are not synchronized to your managed domain.
  • Condivisione SYSVOL: il contenuto della condivisione SYSVOL nel dominio locale non viene sincronizzato nel dominio gestito.SYSVOL share: Similarly, the contents of the SYSVOL share on your on-premises domain are not synchronized to your managed domain.
  • Oggetti computer: gli oggetti computer per i computer aggiunti al dominio locale non vengono sincronizzati nel dominio gestito.Computer objects: Computer objects for computers joined to your on-premises domain are not synchronized to your managed domain. Tali computer non hanno una relazione di trust con il dominio gestito e appartengono solo al dominio locale.These computers do not have a trust relationship with your managed domain and belong to your on-premises domain only. Nel dominio gestito sono presenti oggetti computer solo per i computer aggiunti in modo esplicito al dominio gestito.In your managed domain, you find computer objects only for computers you have explicitly domain-joined to the managed domain.
  • Attributi SidHistory per utenti e gruppi: gli ID di sicurezza (SID) dell'utente primario e del gruppo primario dal dominio locale vengono sincronizzati nel dominio gestito.SidHistory attributes for users and groups: The primary user and primary group SIDs from your on-premises domain are synchronized to your managed domain. Tuttavia, gli attributi SidHistory esistenti per utenti e gruppi non vengono sincronizzati dal dominio locale nel dominio gestito.However, existing SidHistory attributes for users and groups are not synchronized from your on-premises domain to your managed domain.
  • Strutture di unità organizzative (OU): le unità organizzative definite nel dominio locale non vengono sincronizzate nel dominio gestito.Organization Units (OU) structures: Organizational Units defined in your on-premises domain do not synchronize to your managed domain. Nel dominio gestito sono presenti due unità organizzative incorporate.There are two built-in OUs in your managed domain. Per impostazione predefinita, il dominio gestito presenta una struttura di unità organizzative piatta.By default, your managed domain has a flat OU structure. È tuttavia possibile scegliere di creare un'unità organizzativa personalizzata nel dominio gestito.You may however choose to create a custom OU in your managed domain.

Sincronizzazione di attributi specifici nel dominio gestitoHow specific attributes are synchronized to your managed domain

La tabella seguente riporta alcuni attributi comuni e il modo in cui vengono sincronizzati nel dominio gestito.The following table lists some common attributes and describes how they are synchronized to your managed domain.

Attributo nel dominio gestitoAttribute in your managed domain SorgenteSource NoteNotes
UPNUPN Attributo UPN dell'utente nel tenant di Azure ADUser's UPN attribute in your Azure AD tenant L'attributo UPN del tenant di Azure AD viene sincronizzato così com'è nel dominio gestito.The UPN attribute from your Azure AD tenant is synchronized as is to your managed domain. Il modo più affidabile per accedere al dominio gestito è quindi l'uso dell'UPN.Therefore, the most reliable way to sign in to your managed domain is using your UPN.
SAMAccountNameSAMAccountName Attributo mailNickname dell'utente nel tenant di Azure AD o generato automaticamenteUser's mailNickname attribute in your Azure AD tenant or auto-generated L'attributo SAMAccountName è originato dall'attributo mailNickname nel tenant di Azure AD.The SAMAccountName attribute is sourced from the mailNickname attribute in your Azure AD tenant. Se più account utente hanno lo stesso attributo mailNickname, l'attributo SAMAccountName viene generato automaticamente.If multiple user accounts have the same mailNickname attribute, the SAMAccountName is auto-generated. Se l'attributo mailNickname o il prefisso UPN dell'utente ha una lunghezza superiore a 20 caratteri, l'attributo SAMAccountName viene generato automaticamente per soddisfare il limite di 20 caratteri relativo agli attributi SAMAccountName.If the user's mailNickname or UPN prefix is longer than 20 characters, the SAMAccountName is auto-generated to satisfy the 20 character limit on SAMAccountName attributes.
PasswordPasswords Password utente del tenant di Azure ADUser's password from your Azure AD tenant Gli hash delle credenziali necessari per l'autenticazione NTLM o Kerberos, anche detti credenziali supplementari, vengono sincronizzati dal tenant di Azure AD.Credential hashes required for NTLM or Kerberos authentication (also called supplemental credentials) are synchronized from your Azure AD tenant. Se il tenant di Azure AD è un tenant sincronizzato, tali credenziali vengono originate dal dominio locale.If your Azure AD tenant is a synced tenant, these credentials are sourced from your on-premises domain.
SID utente/gruppo primarioPrimary user/group SID Generato automaticamenteAuto-generated L'ID di sicurezza primario per gli account di gruppo o gli account utente viene generato automaticamente nel dominio gestito.The primary SID for user/group accounts is auto-generated in your managed domain. Questo attributo non corrisponde all'ID di sicurezza utente/gruppo primario dell'oggetto nel dominio Active Directory locale.This attribute does not match the primary user/group SID of the object in your on-premises AD domain. La mancata corrispondenza è dovuta alla differenza di spazio dei nomi dell'ID di sicurezza tra il dominio gestito e il dominio locale.This mismatch is because the managed domain has a different SID namespace than your on-premises domain.
Cronologia SID per utenti e gruppiSID history for users and groups SID utente/gruppo primario localeOn-premises primary user and group SID L'attributo SidHistory per utenti e gruppi nel dominio gestito viene impostato in modo che corrisponda all'ID di sicurezza utente o gruppo primario nel dominio locale.The SidHistory attribute for users and groups in your managed domain is set to match the corresponding primary user or group SID in your on-premises domain. Questa funzionalità consente di semplificare il potenziamento e lo spostamento delle applicazioni locali nel dominio gestito, perché elimina la necessità di creare un nuovo elenco di controllo di accesso delle risorse.This feature helps make lift-and-shift of on-premises applications to the managed domain easier, since you do not need to re-ACL resources.

Nota

Accedere al dominio gestito usando il formato UPN: per alcuni account utente nel dominio gestito l'attributo SAMAccountName può essere generato automaticamente.Sign in to the managed domain using the UPN format: The SAMAccountName attribute may be auto-generated for some user accounts in your managed domain. Se più utenti hanno lo stesso attributo mailNickname o sono presenti utenti con un prefisso UPN troppo lungo, l'attributo SAMAccountName per questi utenti potrebbe essere generato automaticamente.If multiple users have the same mailNickname attribute or users have overly long UPN prefixes, the SAMAccountName for these users may be auto-generated. Il formato SAMAccountName, ad esempio "CONTOSO100\joeuser", non è quindi un modo sempre affidabile per accedere al dominio.Therefore, the SAMAccountName format (for example, 'CONTOSO100\joeuser') is not always a reliable way to sign in to the domain. L'attributo SAMAccountName autogenerato dell'utente potrebbe infatti essere diverso dal relativo prefisso UPN.Users' auto-generated SAMAccountName may differ from their UPN prefix. Per accedere al dominio gestito in modo affidabile, usare il formato UPN, ad esempio 'joeuser@contoso100.com'.Use the UPN format (for example, 'joeuser@contoso100.com') to sign in to the managed domain reliably.

Mapping degli attributi per gli account utenteAttribute mapping for user accounts

La tabella seguente mostra come vengono sincronizzati attributi specifici per gli oggetti utente nel tenant di Azure AD con gli attributi corrispondenti nel dominio gestito.The following table illustrates how specific attributes for user objects in your Azure AD tenant are synchronized to corresponding attributes in your managed domain.

Attributo utente nel tenant di Azure ADUser attribute in your Azure AD tenant Attributo utente nel dominio gestitoUser attribute in your managed domain
accountEnabledaccountEnabled userAccountControl (imposta o cancella il bit ACCOUNT_DISABLED)userAccountControl (sets or clears the ACCOUNT_DISABLED bit)
citycity ll
countrycountry coco
departmentdepartment departmentdepartment
displayNamedisplayName displayNamedisplayName
facsimileTelephoneNumberfacsimileTelephoneNumber facsimileTelephoneNumberfacsimileTelephoneNumber
givenNamegivenName givenNamegivenName
jobTitlejobTitle titletitle
mailmail mailmail
mailNicknamemailNickname msDS-AzureADMailNicknamemsDS-AzureADMailNickname
mailNicknamemailNickname SAMAccountName (a volte può essere generato automaticamente)SAMAccountName (may sometimes be auto-generated)
mobilemobile mobilemobile
objectIdobjectid msDS-AzureADObjectIdmsDS-AzureADObjectId
onPremiseSecurityIdentifieronPremiseSecurityIdentifier sidHistorysidHistory
passwordPoliciespasswordPolicies userAccountControl (imposta o cancella il bit DONT_EXPIRE_PASSWORD)userAccountControl (sets or clears the DONT_EXPIRE_PASSWORD bit)
physicalDeliveryOfficeNamephysicalDeliveryOfficeName physicalDeliveryOfficeNamephysicalDeliveryOfficeName
postalCodepostalCode postalCodepostalCode
preferredLanguagepreferredLanguage preferredLanguagepreferredLanguage
statestate stst
streetAddressstreetAddress streetAddressstreetAddress
surnamesurname snsn
telephoneNumbertelephoneNumber telephoneNumbertelephoneNumber
userPrincipalNameuserPrincipalName userPrincipalNameuserPrincipalName

Mapping degli attributi per i gruppiAttribute mapping for groups

La tabella seguente mostra come vengono sincronizzati attributi specifici per gli oggetti gruppo nel tenant di Azure AD con gli attributi corrispondenti nel dominio gestito.The following table illustrates how specific attributes for group objects in your Azure AD tenant are synchronized to corresponding attributes in your managed domain.

Attributo di gruppo nel tenant di Azure ADGroup attribute in your Azure AD tenant Attributo di gruppo nel dominio gestitoGroup attribute in your managed domain
displayNamedisplayName displayNamedisplayName
displayNamedisplayName SAMAccountName (a volte può essere generato automaticamente)SAMAccountName (may sometimes be auto-generated)
mailmail mailmail
mailNicknamemailNickname msDS-AzureADMailNicknamemsDS-AzureADMailNickname
objectIdobjectid msDS-AzureADObjectIdmsDS-AzureADObjectId
onPremiseSecurityIdentifieronPremiseSecurityIdentifier sidHistorysidHistory
securityEnabledsecurityEnabled groupTypegroupType

Oggetti che non vengono sincronizzati nel tenant di Azure AD dal dominio gestitoObjects that are not synchronized to your Azure AD tenant from your managed domain

Come descritto in una sezione precedente di questo articolo, non viene eseguita alcuna sincronizzazione dal dominio gestito al tenant di Azure AD.As described in a preceding section of this article, there is no synchronization from your managed domain back to your Azure AD tenant. È tuttavia possibile scegliere di creare un'unità organizzativa personalizzata nel dominio gestito.You may choose to create a custom Organizational Unit (OU) in your managed domain. All'interno delle queste unità organizzative personalizzate è possibile creare anche altre unità organizzative, utenti, gruppi o account di servizio.Further, you can create other OUs, users, groups, or service accounts within these custom OUs. Gli oggetti creati all'interno di unità organizzative personalizzate non vengono sincronizzati nel tenant di Azure AD,None of the objects created within custom OUs are synchronized back to your Azure AD tenant. ma sono disponibili per l'uso unicamente all'interno del dominio gestito.These objects are available for use only within your managed domain. Tali oggetti non sono quindi visibili tramite i cmdlet di PowerShell per Azure AD, l'API Graph di Azure AD o l'interfaccia utente di gestione di Azure AD.Therefore, these objects are not visible using Azure AD PowerShell cmdlets, Azure AD Graph API or using the Azure AD management UI.