Azure AD Connect: account e autorizzazioniAzure AD Connect: Accounts and permissions

L'installazione guidata di Azure AD Connect offre due percorsi diversi:The Azure AD Connect installation wizard offers two different paths:

  • Impostazioni rapide: sono necessari più privilegi.In Express Settings, the wizard requires more privileges. È possibile eseguire la configurazione con facilità, senza che sia necessario creare utenti o configurare autorizzazioni.This is so that it can set up your configuration easily, without requiring you to create users or configure permissions.
  • Impostazioni personalizzate: sono disponibili più opzioni e scelte.In Custom Settings, the wizard offers you more choices and options. In alcune situazioni è tuttavia necessario assicurarsi manualmente di disporre delle autorizzazioni corrette.However, there are some situations in which you need to ensure you have the correct permissions yourself.

Se non è stata letta la documentazione in Integrazione delle identità locali con Azure Active Directory, la tabella seguente fornisce collegamenti ad argomenti correlati.If you did not read the documentation on Integrating your on-premises identities with Azure Active Directory, the following table provides links to related topics.

ArgomentoTopic CollegamentoLink
Scaricare Azure AD ConnectDownload Azure AD Connect Scaricare Azure AD ConnectDownload Azure AD Connect
Eseguire l'installazione con le Impostazioni rapideInstall using Express settings Installazione rapida di Azure AD ConnectExpress installation of Azure AD Connect
Eseguire l'installazione mediante le impostazioni personalizzateInstall using Customized settings Installazione personalizzata di Azure AD ConnectCustom installation of Azure AD Connect
Aggiornamento da DirSyncUpgrade from DirSync Aggiornamento dallo strumento di sincronizzazione di Azure AD (DirSync)Upgrade from Azure AD sync tool (DirSync)
Dopo l'installazioneAfter installation Verificare l'installazione e assegnare le licenze Verify the installation and assign licenses

Installazione mediante le impostazioni rapideExpress settings installation

In Impostazioni rapide vengono richieste le credenziali di amministratore dell'organizzazione di Active Directory Domain Services.In Express settings, the installation wizard asks for AD DS Enterprise Admin credentials. Si tratta quindi dell'istanza locale di Active Directory che è possibile configurare con le autorizzazioni necessarie per Azure AD Connect.This is so your on-premises Active Directory can be configured with required permissions for Azure AD Connect. Se si esegue l'aggiornamento da DirSync, le credenziali di amministratore dell'organizzazione di Servizi di dominio Active Directory vengono usate per reimpostare la password per l'account usato da DirSync.If you are upgrading from DirSync, the AD DS Enterprise Admins credentials are used to reset the password for the account used by DirSync. Sono necessarie anche le credenziali di amministratore globale di Azure AD.You also need Azure AD Global Administrator credentials.

Pagina della procedura guidataWizard Page Credenziali raccolteCredentials Collected Autorizzazioni necessariePermissions Required UtilizzoUsed For
N/DN/A Utente che esegue l'installazione guidataUser running the installation wizard Amministratore del server localeAdministrator of the local server
  • Creazione dell'account locale usato come account del servizio del motore di sincronizzazione.Creates the local account that is used as the sync engine service account.
  • Connessione ad Azure ADConnect to Azure AD Credenziali di directory di Azure ADAzure AD directory credentials Ruolo di amministratore in Azure ADGlobal administrator role in Azure AD
  • Abilitazione della sincronizzazione nella directory di Azure AD.Enabling sync in the Azure AD directory.
  • Creazione dell'account Azure AD utilizzato per le operazioni di sincronizzazione ricorrenti in Azure AD.Creation of the Azure AD account that is used for on-going sync operations in Azure AD.
  • Connettersi ad AD DSConnect to AD DS Credenziali Active Directory localiOn-premises Active Directory credentials Membro del gruppo Enterprise Admins (EA) in Active DirectoryMember of the Enterprise Admins (EA) group in Active Directory
  • Creazione di un account in Active Directory e concessione delle relative autorizzazioni.Creates an account in Active Directory and grants permissions to it. L'account creato viene usato per leggere e scrivere informazioni di directory durante la sincronizzazione.This created account is used to read and write directory information during synchronization.
  • Credenziali di amministratore dell'organizzazioneEnterprise Admin credentials

    Queste credenziali vengono usate solo durante l'installazione e non dopo il completamento di quest'ultima.These credentials are only used during the installation and are not used after the installation has completed. L'amministratore dell'organizzazione, non l'amministratore di dominio, deve garantire che le autorizzazioni in Active Directory possano essere impostate in tutti i domini.The Enterprise Admin, not the Domain Admin should make sure the permissions in Active Directory can be set in all domains.

    Credenziali di amministratore globaleGlobal Admin credentials

    Queste credenziali vengono usate solo durante l'installazione e non dopo il completamento di quest'ultima.These credentials are only used during the installation and are not used after the installation has completed. Vengono usate per creare l'account Azure AD utile per sincronizzare le modifiche apportate ad Azure AD.It is used to create the Azure AD account used for synchronizing changes to Azure AD. e per abilitare la sincronizzazione come funzionalità in Azure AD.The account also enables sync as a feature in Azure AD.

    Autorizzazioni per gli account creati di Servizi di dominio Active Directory per le impostazioni rapidePermissions for the created AD DS account for express settings

    L' account creato per la lettura e la scrittura in Servizi di dominio Active Directory ha le autorizzazioni seguenti se creato tramite impostazioni rapide:The account created for reading and writing to AD DS have the following permissions when created by express settings:

    AutorizzazionePermission Usato perUsed for
  • Replica modifiche directoryReplicate Directory Changes
  • Replica modifiche directory - TuttoReplicate Directory Changes All
  • Sincronizzazione delle passwordPassword sync
    Lettura/scrittura di tutte le proprietà - UtenteRead/Write all properties User Importazione ed Exchange ibridoImport and Exchange hybrid
    Lettura/scrittura di tutte le proprietà - iNetOrgPersonRead/Write all properties iNetOrgPerson Importazione ed Exchange ibridoImport and Exchange hybrid
    Lettura/scrittura di tutte le proprietà - GruppoRead/Write all properties Group Importazione ed Exchange ibridoImport and Exchange hybrid
    Lettura/scrittura di tutte le proprietà - ContattoRead/Write all properties Contact Importazione ed Exchange ibridoImport and Exchange hybrid
    Reimposta passwordReset password Preparazione per l'abilitazione del writeback delle passwordPreparation for enabling password writeback

    Installazione mediante le impostazioni personalizzateCustom settings installation

    Azure AD Connect versione 1.1.524.0 e successive con l'opzione per consentire alla procedura guidata di Azure AD Connect di creare l'account usato per connettersi ad Active Directory.Azure AD Connect version 1.1.524.0 and later has the option to let the Azure AD Connect wizard create the account used to connect to Active Directory. Con le versioni precedenti era necessario creare l'account prima dell'installazione.Earlier versions require that the account is created before the installation. Per le autorizzazioni da concedere a questo account, vedere Creare l'account di Servizi di dominio Active Directory.The permissions you must grant this account can be found in create the AD DS account.

    Pagina della procedura guidataWizard Page Credenziali raccolteCredentials Collected Autorizzazioni necessariePermissions Required UtilizzoUsed For
    N/DN/A Utente che esegue l'installazione guidataUser running the installation wizard
  • Amministratore del server localeAdministrator of the local server
  • Se si usa una versione completa di SQL Server, l'utente deve essere un amministratore di sistema in SQLIf using a full SQL Server, the user must be System Administrator (SA) in SQL
  • Per impostazione predefinita, crea l'account locale usato come account del servizio del motore di sincronizzazione.By default, creates the local account that is used as the sync engine service account. L'account viene creato solo quando l'amministratore non specifica un account determinato.The account is only created when the admin does not specify a particular account.
    Installazione dei servizi di sincronizzazione, opzione Account di servizioInstall synchronization services, Service account option Active Directory o credenziali dell'account utente localeAD or local user account credentials Autorizzazioni utente concesse mediante l'installazione guidataUser, permissions are granted by the installation wizard Se l'amministratore specifica un account, quest'ultimo viene usato come account del servizio di sincronizzazione.If the admin specifies an account, this account is used as the service account for the sync service.
    Connessione ad Azure ADConnect to Azure AD Credenziali di directory di Azure ADAzure AD directory credentials Ruolo di amministratore in Azure ADGlobal administrator role in Azure AD
  • Abilitazione della sincronizzazione nella directory di Azure AD.Enabling sync in the Azure AD directory.
  • Creazione dell'account Azure AD utilizzato per le operazioni di sincronizzazione ricorrenti in Azure AD.Creation of the Azure AD account that is used for on-going sync operations in Azure AD.
  • Connessione delle directoryConnect your directories Credenziali Active Directory locali per ogni foresta connessa ad Azure ADOn-premises Active Directory credentials for each forest that is connected to Azure AD Le autorizzazioni variano in base alle funzionalità attivate e sono disponibili in Creare l'account di Servizi di dominio Active DirectoryThe permissions depend on which features you enable and can be found in Create the AD DS account L'account viene usato per leggere e scrivere informazioni di directory durante la sincronizzazione.This account is used to read and write directory information during synchronization.
    Server ADFSAD FS Servers Per ogni server nell'elenco, la procedura guidata raccoglie le credenziali, quando le credenziali di accesso dell'utente che esegue la procedura guidata non sono sufficienti per la connessioneFor each server in the list, the wizard collects credentials when the logon credentials of the user running the wizard are insufficient to connect Amministratore di dominioDomain Administrator Installazione e configurazione del ruolo del server ADFS.Installation and configuration of the AD FS server role.
    Server Proxy applicazione WebWeb application proxy servers Per ogni server nell'elenco, la procedura guidata raccoglie le credenziali, quando le credenziali di accesso dell'utente che esegue la procedura guidata non sono sufficienti per la connessioneFor each server in the list, the wizard collects credentials when the logon credentials of the user running the wizard are insufficient to connect Amministratore locale nel computer di destinazioneLocal admin on the target machine Installazione e configurazione del ruolo del server WAP.Installation and configuration of WAP server role.
    Credenziali di attendibilità del proxyProxy trust credentials Credenziali di attendibilità del servizio federativo (le credenziali che sono utilizzate dal proxy per richiedere un certificato di attendibilità da FS)Federation service trust credentials (the credentials the proxy uses to enroll for a trust certificate from the FS Account di dominio che è un amministratore locale del server ADFSDomain account that is a local administrator of the AD FS server Registrazione iniziale del certificato di attendibilità di FS-WAP.Initial enrollment of FS-WAP trust certificate.
    Pagina Account del servizio ADFS, "Utilizzare un'opzione account utente di dominio"AD FS Service Account page, "Use a domain user account option" Credenziali dell'account utente di Active DirectoryAD user account credentials Utente di dominioDomain user L'account utente di Active Directory di cui vengono fornite le credenziali viene usato come account di accesso del servizio AD FS.The AD user account whose credentials are provided is used as the logon account of the AD FS service.

    Creare l'account di Servizi di dominio Active DirectoryCreate the AD DS account

    L'account specificato nella pagina Connessione delle directory deve essere presente in Active Directory prima dell'installazione.The account you specify on the Connect your directories page must be present in Active Directory prior to installation. È necessario che siano disponibili anche le autorizzazioni necessarie.It must also have the required permissions granted. L'installazione guidata non verifica che le autorizzazioni e gli eventuali problemi vengano rilevati solo durante la sincronizzazione.The installation wizard does not verify the permissions and any issues are only found during synchronization.

    Le autorizzazioni necessarie dipendono dalle funzionalità facoltative abilitate.Which permissions you require depends on the optional features you enable. Se si dispone di più domini, le autorizzazioni devono essere concesse per tutti i domini nella foresta.If you have multiple domains, the permissions must be granted for all domains in the forest. Se queste funzionalità non vengono abilitate, sono sufficienti le autorizzazioni dell' utente di dominio predefinite.If you do not enable any of these features, the default Domain User permissions are sufficient.

    FunzionalitàFeature AutorizzazioniPermissions
    Funzionalità msDS-ConsistencyGuidmsDS-ConsistencyGuid feature Autorizzazioni di scrittura per l'attributo msDS-ConsistencyGuid documentato in Concetti di progettazione - Uso di msDS-ConsistencyGuid come sourceAnchor.Write permissions to the msDS-ConsistencyGuid attribute documented in Design Concepts - Using msDS-ConsistencyGuid as sourceAnchor.
    Sincronizzazione delle passwordPassword sync
  • Replica modifiche directoryReplicate Directory Changes
  • Replica modifiche directory - TuttoReplicate Directory Changes All
  • Distribuzione ibrida di ExchangeExchange hybrid deployment Autorizzazioni di scrittura per gli attributi documentati in Writeback della distribuzione ibrida Exchange per utenti, gruppi e contatti.Write permissions to the attributes documented in Exchange hybrid writeback for users, groups, and contacts.
    Cartelle pubbliche della posta di ExchangeExchange Mail Public Folder Autorizzazioni di lettura per gli attributi documentati in Cartelle pubbliche della posta di Exchange per le cartelle pubbliche.Read permissions to the attributes documented in Exchange Mail Public Folder for public folders.
    writeback delle passwordPassword writeback Autorizzazioni di scrittura per gli attributi documentati in Introduzione alla gestione delle password per gli utenti.Write permissions to the attributes documented in Getting started with password management for users.
    Writeback dispositiviDevice writeback Autorizzazioni concesse con uno script di PowerShell come descritto in Writeback dei dispositivi.Permissions granted with a PowerShell script as described in device writeback.
    Writeback dei gruppiGroup writeback Lettura, creazione, aggiornamento ed eliminazione di oggetti di gruppo per i gruppi di Office 365 sincronizzati.Read, Create, Update, and Delete group objects for synchronized Office 365 groups. Per altre informazioni, vedere Writeback dei gruppi.For more information see Group Writeback.

    AggiornamentoUpgrade

    Quando si aggiorna da una versione di Azure AD Connect a una nuova versione, è necessario avere le autorizzazioni seguenti:When you upgrade from one version of Azure AD Connect to a new release, you need the following permissions:

    Importante

    A partire dalla build 1.1.484, in Azure AD Connect è stato introdotto un bug di regressione che richiede autorizzazioni sysadmin per aggiornare il database SQL.Starting with build 1.1.484, Azure AD Connect introduced a regression bug which requires sysadmin permissions to upgrade the SQL database. Questo bug è ancora presente nell'ultima build 1.1.614.This bug is still present in the latest build 1.1.614. Se si esegue l'aggiornamento a questa build, saranno necessarie autorizzazioni sysadmin.If you are upgrading to this build, you will need sysadmin permissions. Le autorizzazioni dbo non sono sufficienti.Dbo permissions are not sufficient. Se si tenta di eseguire l'aggiornamento di Azure AD Connect senza disporre delle autorizzazioni sysadmin, l'aggiornamento avrà esito negativo e Azure AD Connect non funzionerà più correttamente in seguito.If you attempt to upgrade Azure AD Connect without having sysadmin permissions, the upgrade will fail and Azure AD Connect will no longer function correctly afterwards. Microsoft è al corrente di questo problema e sta lavorando a una soluzione.Microsoft is aware of this and is working to correct this.

    EntitàPrincipal Autorizzazioni necessariePermissions required Usato perUsed for
    Utente che esegue l'installazione guidataUser running the installation wizard Amministratore del server localeAdministrator of the local server Aggiornare i file binari.Update binaries.
    Utente che esegue l'installazione guidataUser running the installation wizard Membro di ADSyncAdminsMember of ADSyncAdmins Apportare modifiche alle regole di sincronizzazione e ad altre configurazioni.Make changes to Sync Rules and other configuration.
    Utente che esegue l'installazione guidataUser running the installation wizard Se si utilizza un server SQL completo: DBO (o simile) del database del motore di sincronizzazioneIf you use a full SQL server: DBO (or similar) of the sync engine database Apportare modifiche a livello di database, ad esempio l'aggiornamento di tabelle con nuove colonne.Make database level changes, such as updating tables with new columns.

    Altre informazioni sugli account creatiMore about the created accounts

    Account Active DirectoryActive Directory account

    Se si usano le impostazioni rapide, viene creato un account in Active Directory usato per la sincronizzazione.If you use express settings, then an account is created in Active Directory that is used for synchronization. L'account creato si trova nel dominio radice della foresta nel contenitore degli utenti e il relativo nome con prefisso è MSOL_.The created account is located in the forest root domain in the Users container and has its name prefixed with MSOL_. L'account viene creato con una password lunga e complessa priva di scadenza.The account is created with a long complex password that does not expire. Se nel dominio sono presenti criteri di password, assicurarsi che per tale account siano consentite password lunghe e complesse.If you have a password policy in your domain, make sure long and complex passwords would be allowed for this account.

    Account AD

    Se si usano le impostazioni personalizzate, l'utente è responsabile della creazione dell'account prima di avviare l'installazione.If you use custom settings, then you are responsible for creating the account before you start the installation.

    Account del servizio di sincronizzazione Azure AD ConnectAzure AD Connect sync service account

    Il servizio di sincronizzazione può essere eseguito con account diversi,The sync service can run under different accounts. ad esempio con un account del servizio virtuale (VSA), un account del servizio gestito del gruppo (gMSA/sMSA) o un normale account utente.It can run under a Virtual Service Account (VSA), a Group Managed Service Account (gMSA/sMSA), or a regular user account. Le opzioni supportate sono state modificate con il rilascio di aprile 2017 di Connect se si esegue una nuova installazione.The supported options were changed with the 2017 April release of Connect when you do a fresh installation. Se si esegue un aggiornamento da una versione precedente di Azure AD Connect, tali opzioni non sono disponibili.If you upgrade from an earlier release of Azure AD Connect, these additional options are not available.

    Tipo di accountType of account Opzione di installazioneInstallation option DESCRIZIONEDescription
    Account del servizio virtualeVirtual Service Account Rapida e personalizzata, aprile 2017 e versioni successiveExpress and custom, 2017 April and later Questa è l'opzione usata per tutte le installazioni rapide, ad eccezione delle installazioni in un controller di dominio.This is the option used for all express installations, except for installations on a Domain Controller. Per l'installazione personalizzata è l'opzione predefinita, a meno che non si usi un'altra opzione.For custom, it is the default option unless another option is used.
    Account del servizio gestito del gruppoGroup Managed Service Account Personalizzata, aprile 2017 e versioni successiveCustom, 2017 April and later Se si usa un server SQL remoto, è consigliabile usare un account del servizio gestito del gruppo.If you use a remote SQL server, then we recommend to use a group managed service account.
    Account utenteUser account Rapida e personalizzata, aprile 2017 e versioni successiveExpress and custom, 2017 April and later Un account utente con il prefisso AAD_ viene creato durante l'installazione solo se è installato in Windows Server 2008 e in un controller di dominio.A user account prefixed with AAD_ is only created during installation when installed on Windows Server 2008 and when installed on a Domain Controller.
    Account utenteUser account Rapida e personalizzata, marzo 2017 e versioni precedentiExpress and custom, 2017 March and earlier Durante l'installazione viene creato un account locale con prefisso AAD_.A local account prefixed with AAD_ is created during installation. Se si usa l'installazione personalizzata, è possibile specificare un altro account.When using custom installation, another account can be specified.

    Se si usa Connect con una build di marzo 2017 o precedente, non reimpostare la password nell'account del servizio poiché Windows elimina le chiavi di crittografia per motivi di sicurezza.If you use Connect with a build from 2017 March or earlier, then you should not reset the password on the service account since Windows destroys the encryption keys for security reasons. Non è possibile modificare l'account impostandone un altro senza reinstallare Azure AD Connect.You cannot change the account to any other account without reinstalling Azure AD Connect. Se si esegue l'aggiornamento a una build di aprile 2017 o successiva, è possibile modificare la password dell'account del servizio ma non l'account in uso.If you upgrade to a build from 2017 April or later, then it is supported to change the password on the service account but you cannot change the account used.

    Importante

    È possibile impostare solo l'account del servizio durante la prima installazione.You can only set the service account on first installation. Non è supportata la modifica dell'account del servizio dopo il completamento dell'installazione.It is not supported to change the service account after the installation has completed.

    La tabella seguente illustra le opzioni predefinite, consigliate e supportate per l'account del servizio di sincronizzazione.This is a table of the default, recommended, and supported options for the sync service account.

    Legenda:Legend:

    • Il grassetto indica l'opzione predefinita e nella maggior parte dei casi l'opzione consigliata.Bold indicates the default option and in most cases the recommended option.
    • Il corsivo indica l'opzione consigliata quando non è l'opzione predefinita.Italic indicates the recommended option when it is not the default option.
    • 2008: opzione predefinita se installata in Windows Server 20082008 - Default option when installed on Windows Server 2008
    • Non in grassetto: opzione supportataNon-bold - Supported option
    • Account locale: account utente locale sul serverLocal account - Local user account on the server
    • Account di dominio: account utente di dominioDomain account - Domain user account
    • sMSA: account del servizio gestito autonomosMSA - standalone Managed Service account
    • gMSA: account del servizio gestito del gruppogMSA - group Managed Service account
    DB localeLocalDB
    ExpressExpress
    DB/SQL localeLocalDB/LocalSQL
    PersonalizzateCustom
    SQL remotoRemote SQL
    PersonalizzateCustom
    computer autonomo o di gruppo di lavorostandalone/workgroup machine Non supportateNot supported VSAVSA
    Account locale (2008)Local account (2008)
    Account localeLocal account
    Non supportateNot supported
    computer aggiunto a un dominiodomain-joined machine VSAVSA
    Account locale (2008)Local account (2008)
    VSAVSA
    Account locale (2008)Local account (2008)
    Account localeLocal account
    Account di dominioDomain account
    sMSA, gMSAsMSA,gMSA
    gMSAgMSA
    Account di dominioDomain account
    Controller di dominioDomain Controller Account di dominioDomain account gMSAgMSA
    Account di dominioDomain account
    sMSAsMSA
    gMSAgMSA
    Account di dominioDomain account

    Account del servizio virtualeVirtual service account

    Un account del servizio virtuale è un tipo speciale di account che non ha una password ed è gestito da Windows.A virtual service account is a special type of account that does not have a password and is managed by Windows.

    VSA

    L'account del servizio virtuale deve essere usato con scenari in cui il motore di sincronizzazione e SQL sono sullo stesso server.The VSA is intended to be used with scenarios where the sync engine and SQL are on the same server. Se però si usa un server SQL remoto, è consigliabile usare un account del servizio gestito del gruppo.If you use remote SQL, then we recommend to use a Group Managed Service Account instead.

    Questa funzionalità richiede Windows Server 2008 R2 o versioni successive.This feature requires Windows Server 2008 R2 or later. Se si installa Azure AD Connect in Windows Server 2008, l'installazione ritorna all'uso di un account utente.If you install Azure AD Connect on Windows Server 2008, then the installation falls back to using a user account instead.

    Account del servizio gestito del gruppoGroup managed service account

    Se si usa un server SQL remoto, è consigliabile usare un account del servizio gestito del gruppo.If you use a remote SQL server, then we recommend to using a group managed service account. Per altre informazioni su come preparare Active Directory per l'account del servizio gestito del gruppo, vedere la panoramica sugli account del servizio gestito del gruppo.For more information on how to prepare your Active Directory for Group Managed Service account, see Group Managed Service Accounts Overview.

    Per usare questa opzione, nella pagina Installazione dei componenti necessari selezionare Usa un account del servizio esistente e quindi Account del servizio gestito.To use this option, on the Install required components page, select Use an existing service account, and select Managed Service Account.
    VSAVSA
    L'opzione è supportata anche per l'uso di un account del servizio gestito autonomo.It is also supported to use a standalone managed service account. Tuttavia l'opzione può essere usata solo nel computer locale e non offre alcun vantaggio se viene usata con un account del servizio virtuale predefinito.However, these can only be used on the local machine and there is no benefit to use them over the default virtual service account.

    Questa funzionalità richiede Windows Server 2012 o versioni successive.This feature requires Windows Server 2012 or later. Se è necessario usare un sistema operativo precedente e SQL remoto, usare un account utente.If you need to use an older operating system and use remote SQL, then you must use a user account.

    Account utenteUser account

    Mediante l'installazione guidata viene creato un account di servizio locale (a meno che non si specifichi l'account da usare nelle impostazioni personalizzate).A local service account is created by the installation wizard (unless you specify the account to use in custom settings). L'account, preceduto da AAD_, viene usato per l'esecuzione del servizio di sincronizzazione effettivo.The account is prefixed AAD_ and used for the actual sync service to run as. Se si installa Azure AD Connect in un Controller di dominio, l'account viene creato nel dominio.If you install Azure AD Connect on a Domain Controller, the account is created in the domain. L'account del servizio AAD_ deve essere presente nel dominio se:The AAD_ service account must be located in the domain if:

    • si usa un server remoto che esegue SQL Serveryou use a remote server running SQL server
    • si usa un proxy che richiede l'autenticazioneyou use a proxy that requires authentication

    Account del servizio di sincronizzazione

    L'account viene creato con una password lunga e complessa priva di scadenza.The account is created with a long complex password that does not expire.

    Questo account viene usato per archiviare in modo sicuro le password per gli altri account.This account is used to store the passwords for the other accounts in a secure way. Le password di questi altri account vengono archiviate crittografate nel database.These other accounts passwords are stored encrypted in the database. Le chiavi private per le chiavi di crittografia sono protette tramite la crittografia a chiave segreta dei servizi di crittografia con Data Protection API (DPAPI) di Windows.The private keys for the encryption keys are protected with the cryptographic services secret-key encryption using Windows Data Protection API (DPAPI).

    Se si usa una versione completa di SQL Server, l'account del servizio corrisponde al DBO del database creato per il motore di sincronizzazione.If you use a full SQL Server, then the service account is the DBO of the created database for the sync engine. Il servizio non funzionerà come previsto con tutte le altre autorizzazioni.The service will not function as intended with any other permissions. Viene inoltre creato l'accesso a SQL.A SQL login is also created.

    L'account concede inoltre le autorizzazioni a file, chiavi del Registro di sistema e altri oggetti correlati al motore di sincronizzazione.The account is also granted permissions to files, registry keys, and other objects related to the Sync Engine.

    Account del servizio Azure ADAzure AD service account

    In Azure AD viene creato un account per l'uso con il servizio di sincronizzazione.An account in Azure AD is created for the sync service's use. Questo account può essere identificato in base al relativo nome visualizzato.This account can be identified by its display name.

    Account AD

    Il nome del server in cui viene usato l'account può essere identificato nella seconda parte del nome utente.The name of the server the account is used on can be identified in the second part of the user name. Nell'immagine, il nome del server è FABRIKAMCON.In the picture, the server name is FABRIKAMCON. Se si dispone di server di gestione temporanea, ogni server avrà il proprio account.If you have staging servers, each server has its own account.

    L'account del servizio viene creato con una password lunga e complessa priva di scadenza.The service account is created with a long complex password that does not expire. Viene concesso un ruolo speciale per gli account di sincronizzazione della directory che dispone solo delle autorizzazioni per eseguire attività di sincronizzazione della directory.It is granted a special role Directory Synchronization Accounts that has only permissions to perform directory synchronization tasks. Questo ruolo predefinito speciale non può essere concesso al di fuori della procedura guidata di Azure AD Connect.This special built-in role cannot be granted outside of the Azure AD Connect wizard. Il portale di Azure mostra questo account con il ruolo Utente.The Azure portal shows this account with the role User.

    In Azure AD esiste un limite di 20 account del servizio di sincronizzazione.There is a limit of 20 sync service accounts in Azure AD. Per ottenere l'elenco degli account del servizio Azure AD esistenti in Azure AD, eseguire il cmdlet di PowerShell per Azure AD seguente:Get-AzureADDirectoryRole | where {$_.DisplayName -eq "Directory Synchronization Accounts"} | Get-AzureADDirectoryRoleMemberTo get the list of existing Azure AD service accounts in your Azure AD, run the following Azure AD PowerShell cmdlet: Get-AzureADDirectoryRole | where {$_.DisplayName -eq "Directory Synchronization Accounts"} | Get-AzureADDirectoryRoleMember

    Per rimuovere gli account del servizio Azure AD inutilizzati, eseguire il cmdlet di PowerShell per Azure AD seguente:Remove-AzureADUser -ObjectId <ObjectId-of-the-account-you-wish-to-remove>To remove unused Azure AD service accounts, run the following Azure AD PowerShell cmdlet: Remove-AzureADUser -ObjectId <ObjectId-of-the-account-you-wish-to-remove>

    Passaggi successiviNext steps

    Altre informazioni su Integrazione delle identità locali con Azure Active Directory.Learn more about Integrating your on-premises identities with Azure Active Directory.