Integrare le directory locali con Azure Active Directory

Azure AD Connect integra le directory locali con Azure Active Directory. Consente quindi di fornire agli utenti un'identità comune per le applicazioni di Office 365, Azure e SaaS integrate con Azure AD. Questo argomento fornisce una guida dettagliata sulle procedure di pianificazione, distribuzione e funzionamento. Include una raccolta di collegamenti agli argomenti correlati a questa area.

Cos'è Azure AD Connect

Perché usare Azure AD Connect

L'integrazione delle directory locali con Azure AD rende gli utenti più produttivi, in quanto fornisce un'identità comune per accedere alle risorse cloud e locali. Utenti e organizzazioni possono sfruttare i vantaggi seguenti:

  • Gli utenti possono usare un'unica identità per accedere alle applicazioni locali e ai servizi cloud, come ad esempio Office 365.
  • Un unico strumento che offre un'esperienza di distribuzione semplificata per la sincronizzazione e l'accesso.
  • Offre le funzionalità più recenti per gli scenari in uso. Azure AD Connect sostituisce le versioni precedenti degli strumenti di integrazione delle identità, ad esempio DirSync e Azure AD Sync. Per altre informazioni, vedere Confronto degli strumenti di integrazione directory per la soluzione ibrida di gestione delle identità.

Funzionamento di Azure AD Connect

Azure Active Directory Connect è costituito da tre componenti principali: i servizi di sincronizzazione, il componente facoltativo Active Directory Federation Services e il componente di monitoraggio denominato Azure AD Connect Health.

Stack di Azure AD Connect
  • Sincronizzazione: questo componente è responsabile della creazione di utenti, gruppi e altri oggetti. Deve anche garantire che le informazioni sulle identità per utenti e gruppi locali corrispondano a quelle nel cloud.
  • AD FS: la federazione è una parte facoltativa di Azure AD Connect e può essere usata per configurare un ambiente ibrido usando un'infrastruttura AD FS locale. Può essere usata dalle organizzazioni per gestire distribuzioni complesse, ad esempio, l'accesso SSO per l'aggiunta a un dominio, l'applicazione di criteri di accesso di Active Directory e l'autenticazione a più fattori con smart card o di terze parti.
  • Monitoraggio dell'integrità: Azure AD Connect Health può offrire un monitoraggio affidabile e una posizione centralizzata nel portale di Azure per visualizzare questa attività. Per altre informazioni, vedere Azure Active Directory Connect Health.

Installare Azure AD Connect

Il download per Azure AD Connect è disponibile nell' Area download Microsoft.

Soluzione Scenario
Prima di iniziare: Hardware e prerequisiti
  • Passaggi da completare prima di iniziare a installare Azure AD Connect.
  • Impostazioni rapide
  • Se è disponibile una singola foresta Active Directory, è consigliabile usare questa opzione.
  • Accesso utente con la stessa password tramite la sincronizzazione delle password.
  • Impostazioni personalizzate
  • Da usare quando sono presenti più foreste. Supporta numerose topologie locali.
  • Personalizzare l'opzione di accesso, ad esempio con AD FS per la federazione o un provider di identità di terze parti.
  • Personalizzare le funzionalità di sincronizzazione, ad esempio filtro e writeback.
  • Aggiornamento da DirSync
  • Da usare se è presente un server DirSync esistente già in esecuzione.
  • Aggiornamento da Azure AD Sync o Azure AD Connect
  • Sono disponibili diversi metodi.
  • Dopo l'installazione sarà necessario verificare se funziona come previsto e assegnare le licenze agli utenti.

    Installare Azure AD Connect - Passaggi successivi

    Argomento Collegamento
    Scaricare Azure AD Connect Scaricare Azure AD Connect
    Eseguire l'installazione con le Impostazioni rapide Installazione rapida di Azure AD Connect
    Eseguire l'installazione mediante le impostazioni personalizzate Installazione personalizzata di Azure AD Connect
    Aggiornamento da DirSync Aggiornamento dallo strumento di sincronizzazione di Azure AD (DirSync)
    Dopo l'installazione Verificare l'installazione e assegnare le licenze

    Altre informazioni su come installare Azure AD Connect

    Preparazione per la gestione delle attività operative . È consigliabile avere un server in standby per agevolare il failover in caso di emergenza. Se si prevede di apportare modifiche frequenti alla configurazione, è consigliabile valutare l'uso di un server in modalità di staging .

    Argomento Collegamento
    Topologie supportate Topologie per Azure AD Connect
    Concetti relativi alla progettazione Concetti relativi alla progettazione per Azure AD Connect
    Account usati per l'installazione Altre informazioni sulle credenziali e le autorizzazioni di Azure AD Connect
    Pianificazione per la gestione delle attività operative Servizio di sincronizzazione Azure AD Connect: Attività operative e considerazioni
    Opzioni di accesso utente Opzioni di accesso utente di Azure AD Connect

    Configurare le funzionalità di sincronizzazione

    Azure AD Connect include numerose funzionalità che è possibile abilitare o che sono abilitate per impostazione predefinita. Alcune funzionalità possono talvolta richiedere più attività di configurazione in topologie e scenari specifici.

    filtro consente di limitare gli oggetti da sincronizzare con Azure AD. Per impostazione predefinita, vengono sincronizzati tutti gli utenti, i contatti, i gruppi e i computer Windows 10. È possibile modificare il filtro sulla base di domini, unità organizzative o attributi.

    sincronizzazione delle password consente di sincronizzare l'hash delle password di Active Directory con Azure AD. L'utente finale può usare la stessa password in locale e nel cloud, ma gestirla da una sola posizione. Poiché usa l'istanza di Active Directory locale come autorità di certificazione, è anche possibile usare i criteri password personali.

    writeback delle password consente agli utenti di modificare e reimpostare le proprie password nel cloud, applicando i criteri per le password locali.

    writeback dei dispositivi consente il writeback di un dispositivo registrato in Azure AD nell'istanza di Active Directory locale, affinché possa essere usato per l'accesso condizionale.

    La funzionalità di prevenzione delle eliminazioni accidentali è attivata per impostazione predefinita e proteggere la directory cloud da numerose eliminazioni contemporanee. Per impostazione predefinita, consente 500 eliminazioni per ogni esecuzione. È possibile modificare questa impostazione in base alle dimensioni dell'organizzazione.

    aggiornamento automatico è abilitato per impostazione predefinita per le installazioni con impostazioni rapide e assicura che Azure AD Connect sia sempre aggiornato alla versione più recente.

    Configurare le funzionalità di sincronizzazione - Passaggi successivi

    Argomento Collegamento
    Configurare il filtro Servizio di sincronizzazione Azure AD Connect: Configurare il filtro
    sincronizzazione delle password Servizio di sincronizzazione Azure AD Connect: Implementare la sincronizzazione della password
    writeback delle password Introduzione alla gestione delle password
    writeback dei dispositivi Abilitazione del writeback dei dispositivi in Azure AD Connect
    prevenzione delle eliminazioni accidentali Servizio di sincronizzazione Azure AD Connect: Impedire eliminazioni accidentali
    aggiornamento automatico Azure AD Connect: aggiornamento automatico

    Personalizzare il servizio di sincronizzazione Azure AD Connect

    Il servizio di sincronizzazione Azure AD Connect viene fornito con una configurazione predefinita adatta alla maggior parte dei clienti e delle topologie. In alcune situazioni, tuttavia, la configurazione predefinita non funziona e richiede alcune rettifiche. Le modifiche sono supportate, purché in linea con quanto documentato in questa sezione e negli argomenti collegati.

    Se è la prima volta che si usa una topologia di sincronizzazione, è consigliabile vedere le nozioni di base e i termini usati nella sezione relativa ai concetti tecnici. Azure AD Connect è l'evoluzione di MIIS2003, ILM2007 e FIM2010. Anche se alcuni elementi sono identici, sono state introdotte numerose modifiche.

    La configurazione predefinita presuppone che possano essere presenti più foreste. In queste topologie un oggetto utente può essere rappresentato come un contatto in un'altra foresta. L'utente può anche avere una cassetta postale collegata in un'altra foresta di risorse. Il comportamento della configurazione predefinita è descritto in utenti e contatti.

    Il modello di configurazione sincronizzato è chiamato provisioning dichiarativo. I flussi di attributi avanzati usano funzioni per esprimere le trasformazioni degli attributi. È possibile visualizzare ed esaminare l'intera configurazione con gli strumenti disponibili in Azure AD Connect. Per apportare modifiche alla configurazione, assicurarsi di seguire le procedure consigliate per semplificare l'adozione delle nuove versioni.

    Personalizzare il servizio di sincronizzazione Azure AD Connect - Passaggi successivi

    Argomento Collegamento
    Tutti gli articoli sul servizio di sincronizzazione Azure AD Connect Servizio di sincronizzazione Azure AD Connect
    concetti tecnici Servizio di sincronizzazione Azure AD Connect: Concetti tecnici
    Informazioni sulla configurazione predefinita Servizio di sincronizzazione Azure AD Connect: Informazioni sulla configurazione predefinita
    Informazioni su utenti e contatti Servizio di sincronizzazione Azure AD Connect: Informazioni su utenti e contatti
    provisioning dichiarativo Servizio di sincronizzazione Azure AD Connect: Informazioni sulle espressioni di provisioning dichiarativo
    Modificare la configurazione predefinita Procedure consigliate per modificare la configurazione predefinita

    Configurare le funzionalità di federazione

    AD FS può essere configurato per supportare più domini. Ad esempio, possono essere presenti più domini principali da usare per la federazione.

    Se il server AD FS non è stato configurato per l'aggiornamento automatico dei certificati da Azure AD o se si usa una soluzione non AD FS, si riceverà una notifica quando è necessario aggiornare i certificati.

    Configurare le funzionalità di federazione - Passaggi successivi

    Argomento Collegamento
    Tutti gli articoli su AD FS Azure AD Connect e federazione
    Configurare AD FS con sottodomini Supporto di più domini per la federazione con Azure AD
    Gestire la farm AD FS Gestione e personalizzazione di AD FS con Azure AD Connect
    Aggiornare manualmente i certificati di federazione Rinnovo dei certificati di federazione per Office 365 e Azure AD

    Altri riferimenti e informazioni

    Argomento Collegamento
    Cronologia delle versioni Cronologia delle versioni
    Confronto tra DirSync, Azure ADSync e Azure AD Connect Confronto degli strumenti di integrazione directory
    Elenco di compatibilità non AD FS per Azure AD Elenco di compatibilità di federazione di Azure AD
    Configurazione di un IdP SAML 2.0 Uso di un provider di identità (IdP) SAML 2.0 per l'accesso Single Sign-On
    Attributi sincronizzati Attributi sincronizzati
    Monitoraggio con Azure AD Connect Health Azure AD Connect Health
    Domande frequenti Domande frequenti su Azure AD Connect

    Risorse aggiuntive

    Presentazione Ignite 2015 su come estendere le directory locali nel cloud.