Azure AD Connect: Concetti relativi alla progettazioneAzure AD Connect: Design concepts

L'obiettivo di questo argomento consiste nell'illustrare le aree da esaminare durante la progettazione dell'implementazione di Azure AD Connect.The purpose of this topic is to describe areas that must be thought through during the implementation design of Azure AD Connect. Si tratta di un'analisi approfondita di determinate aree e questi concetti vengono illustrati brevemente anche in altri argomenti.This topic is a deep dive on certain areas and these concepts are briefly described in other topics as well.

sourceAnchorsourceAnchor

L'attributo sourceAnchor viene definito come un attributo immutabile durante il ciclo di vita di un oggetto.The sourceAnchor attribute is defined as an attribute immutable during the lifetime of an object. Identifica in modo univoco un oggetto come corrispondente all'oggetto locale in Azure AD.It uniquely identifies an object as being the same object on-premises and in Azure AD. L'attributo viene definito anche immutableId e i due nomi sono usati in modo intercambiabile.The attribute is also called immutableId and the two names are used interchangeable.

Il termine immutabile, ovvero "non modificabile", è importante in questo argomento.The word immutable, that is "cannot be changed", is important to this topic. Poiché il valore di questo attributo non può essere modificato dopo la configurazione, è essenziale scegliere una progettazione in grado di supportare lo scenario specifico.Since this attribute’s value cannot be changed after it has been set, it is important to pick a design that supports your scenario.

L'attributo viene usato per gli scenari seguenti:The attribute is used for the following scenarios:

  • Quando viene compilato un nuovo motore di sincronizzazione o quando il motore viene ricompilato dopo uno scenario di ripristino di emergenza, questo attributo collega gli oggetti esistenti in Azure AD con gli oggetti locali.When a new sync engine server is built, or rebuilt after a disaster recovery scenario, this attribute links existing objects in Azure AD with objects on-premises.
  • Se si passa da un modello di identità solo cloud a un modello di identità sincronizzato, questo attributo consente la "corrispondenza rigida" degli oggetti esistenti in Azure AD con gli oggetti locali.If you move from a cloud-only identity to a synchronized identity model, then this attribute allows objects to "hard match" existing objects in Azure AD with on-premises objects.
  • Se si usa la federazione, questo attributo viene usato insieme a userPrincipalName nell'attestazione per identificare in modo univoco un utente.If you use federation, then this attribute together with the userPrincipalName is used in the claim to uniquely identify a user.

Questo argomento esamina sourceAnchor solo relativamente agli utenti.This topic only talks about sourceAnchor as it relates to users. Le stesse regole sono applicabili a tutti i tipi di oggetto, ma in genere presentano problemi solo per gli utenti.The same rules apply to all object types, but it is only for users this problem usually is a concern.

Selezione di un attributo sourceAnchor validoSelecting a good sourceAnchor attribute

Il valore dell'attributo deve rispettare le regole seguenti:The attribute value must follow the following rules:

  • La lunghezza del testo deve essere inferiore a 60 caratteriBe less than 60 characters in length
    • I caratteri diversi da a-z, A-Z o 0-9 vengono codificati e conteggiati come 3 caratteriCharacters not being a-z, A-Z, or 0-9 are encoded and counted as 3 characters
  • Non deve contenere un carattere speciale: \ !Not contain a special character: \ ! # $ % & * + / = ?# $ % & * + / = ? ^ ` { } | ~ < > ( ) ' ; : , [ ] " @ ^ ` { } | ~ < > ( ) ' ; : , [ ] " @
  • Deve essere globalmente univocoMust be globally unique
  • Deve essere una stringa, un valore intero o un numero binarioMust be either a string, integer, or binary
  • Non deve essere basato sul nome dell'utente, queste modificheShould not be based on user's name, these changes
  • Non devono fare distinzione tra maiuscole e minuscole e devono evitare valori che possono variare in base alle maiuscole/minuscoleShould not be case-sensitive and avoid values that may vary by case
  • Deve essere assegnato quando viene creato l'oggettoShould be assigned when the object is created

Se l'attributo sourceAnchor selezionato non è di tipo stringa, Azure AD Connect usa Base64Encode per il valore dell'attributo per assicurare che non vengano visualizzati caratteri speciali.If the selected sourceAnchor is not of type string, then Azure AD Connect Base64Encode the attribute value to ensure no special characters appear. Se si usa un altro server federativo, assicurarsi che il server sia in grado di applicare Base64Encode all'attributo.If you use another federation server than ADFS, make sure your server can also Base64Encode the attribute.

L'attributo sourceAnchor rispetta la distinzione tra maiuscole e minuscole.The sourceAnchor attribute is case-sensitive. Un valore quale "DavideMilano" è diverso da "davidemilano".A value of “JohnDoe” is not the same as “johndoe”. Non è tuttavia consigliabile creare due oggetti che si differenziano solo per la distinzione tra maiuscole e minuscole.But you should not have two different objects with only a difference in case.

Se è presente una singola foresta locale, l'attributo da usare è objectGUID.If you have a single forest on-premises, then the attribute you should use is objectGUID. Questo attributo deve essere usato anche con le impostazioni rapide in Azure AD Connect e viene usato anche da DirSync.This is also the attribute used when you use express settings in Azure AD Connect and also the attribute used by DirSync.

Se sono presenti più foreste e gli utenti non vengono spostati tra foreste e domini, è possibile usare comunque l'attributo objectGUID .If you have multiple forests and do not move users between forests and domains, then objectGUID is a good attribute to use even in this case.

Se si spostano gli utenti tra foreste e domini, è necessario trovare un attributo che non viene modificato o che possa essere spostato con gli utenti durante lo spostamento.If you move users between forests and domains, then you must find an attribute that does not change or can be moved with the users during the move. Un approccio consigliato consiste nell'introdurre un attributo sintetico.A recommended approach is to introduce a synthetic attribute. È possibile usare un attributo che include un elemento analogo a un GUID.An attribute that could hold something that looks like a GUID would be suitable. Un nuovo GUID viene creato e assegnato all'utente durante la creazione di un oggetto.During object creation, a new GUID is created and stamped on the user. Una regola di sincronizzazione personalizzata può essere creata nel server del motore di sincronizzazione per creare questo valore in base all’ objectGUID e aggiornare l'attributo selezionato in ADDS.A custom sync rule can be created in the sync engine server to create this value based on the objectGUID and update the selected attribute in ADDS. Quando si sposta l'oggetto, assicurarsi di copiare anche il contenuto di questo valore.When you move the object, make sure to also copy the content of this value.

Un'altra soluzione consiste nello scegliere un attributo esistente che si sa che non cambierà.Another solution is to pick an existing attribute you know does not change. Uno degli attributi più comunemente usati è employeeID.Commonly used attributes include employeeID. Se si prende in considerazione un attributo che contiene lettere, assicurarsi che non vi sia alcuna possibilità che le lettere maiuscole e/o minuscole usate per il valore dell'attributo vengano modificate.If you consider an attribute that contains letters, make sure there is no chance the case (upper case vs. lower case) can change for the attribute's value. Gli attributi non validi che non devono essere usati includono gli attributi con il nome dell'utente.Bad attributes that should not be used include those attributes with the name of the user. In caso di matrimonio o divorzio è possibile che il nome venga modificato e ciò non è consentito per questo attributo.In a marriage or divorce, the name is expected to change, which is not allowed for this attribute. Per questo motivo non è nemmeno possibile selezionare attributi quali userPrincipalName, mail e targetAddress nell'installazione guidata di Azure AD Connect.This is also one reason why attributes such as userPrincipalName, mail, and targetAddress are not even possible to select in the Azure AD Connect installation wizard. Questi attributi contengono anche il carattere "@", che non è consentito in sourceAnchor.</span><span class="sxs-lookup">Those attributes also contain the "@" character, which is not allowed in the sourceAnchor.

Modifica dell'attributo sourceAnchorChanging the sourceAnchor attribute

Il valore dell'attributo sourceAnchor non può essere modificato dopo la creazione dell'oggetto in Azure AD e la sincronizzazione dell'identità.The sourceAnchor attribute value cannot be changed after the object has been created in Azure AD and the identity is synchronized.

Le restrizioni seguenti sono quindi applicabili ad Azure AD Connect:For this reason, the following restrictions apply to Azure AD Connect:

  • L'attributo sourceAnchor può essere configurato solo durante l'installazione iniziale.The sourceAnchor attribute can only be set during initial installation. Se si esegue di nuovo l'installazione guidata, questa opzione sarà di sola lettura.If you rerun the installation wizard, this option is read-only. Per modificare questa impostazione, è necessario eseguire la disinstallazione e la reinstallazione.If you need to change this setting, then you must uninstall and reinstall.
  • Se si installa un altro server di Azure AD Connect, sarà necessario selezionare lo stesso attributo sourceAnchor usato in precedenza.If you install another Azure AD Connect server, then you must select the same sourceAnchor attribute as previously used. Se si passa ad Azure AD Connect dopo avere usato DirSync, sarà necessario usare objectGUID , perché questo è l'attributo usato da DirSync.If you have earlier been using DirSync and move to Azure AD Connect, then you must use objectGUID since that is the attribute used by DirSync.
  • Se il valore di sourceAnchor viene modificato dopo l'esportazione dell'oggetto in Azure AD, il servizio di sincronizzazione Azure AD Connect genera un errore e non consente altre modifiche all'oggetto prima della risoluzione del problema e della reimpostazione del valore precedente di sourceAnchor nella directory di origine.If the value for sourceAnchor is changed after the object has been exported to Azure AD, then Azure AD Connect sync throws an error and does not allow any more changes on that object before the issue has been fixed and the sourceAnchor is changed back in the source directory.

Uso di msDS-ConsistencyGuid come sourceAnchorUsing msDS-ConsistencyGuid as sourceAnchor

Per impostazione predefinita, Azure AD Connect (versione 1.1.486.0 e precedenti) usa objectGUID come attributo sourceAnchor.By default, Azure AD Connect (version 1.1.486.0 and older) uses objectGUID as the sourceAnchor attribute. ObjectGUID è generato dal sistema.ObjectGUID is system-generated. Non è possibile specificare il relativo valore durante la creazione di oggetti di AD locale.You cannot specify its value when creating on-premises AD objects. Come illustrato nella sezione sourceAnchor, in alcuni scenari è necessario specificare il valore di sourceAnchor.As explained in section sourceAnchor, there are scenarios where you need to specify the sourceAnchor value. Se gli scenari sono applicabili all'utente, è necessario usare un attributo AD configurabile, ad esempio msDS-ConsistencyGuid, come attributo sourceAnchor.If the scenarios are applicable to you, you must use a configurable AD attribute (for example, msDS-ConsistencyGuid) as the sourceAnchor attribute.

In Azure AD Connect (versione 1.1.524.0 e successive) è ora facilitato l'uso dell'attributo msDS-ConsistencyGuid come attributo sourceAnchor.Azure AD Connect (version 1.1.524.0 and after) now facilitates the use of msDS-ConsistencyGuid as sourceAnchor attribute. Quando si usa questa funzionalità, Azure AD Connect configura automaticamente le regole di sincronizzazione per:When using this feature, Azure AD Connect automatically configures the synchronization rules to:

  1. Usare msDS-ConsistencyGuid come attributo sourceAnchor per gli oggetti User.Use msDS-ConsistencyGuid as the sourceAnchor attribute for User objects. ObjectGUID è usato per altri tipi di oggetto.ObjectGUID is used for other object types.

  2. Per ogni oggetto User di AD locale il cui attributo msDS-ConsistencyGuid non è popolato, Azure AD Connect scrive il valore di objectGUID nell'attributo msDS-ConsistencyGuid in AD locale.For any given on-premises AD User object whose msDS-ConsistencyGuid attribute isn't populated, Azure AD Connect writes its objectGUID value back to the msDS-ConsistencyGuid attribute in on-premises Active Directory. Dopo aver popolato l'attributo msDS-ConsistencyGuid, Azure AD Connect esporta l'oggetto in Azure AD.After the msDS-ConsistencyGuid attribute is populated, Azure AD Connect then exports the object to Azure AD.

Nota

Se un oggetto AD locale viene importato in Azure AD Connect (ovvero importato nello spazio connettore di AD e proiettato in Metaverse), non è più possibile modificarne il valore sourceAnchor.Once an on-premises AD object is imported into Azure AD Connect (that is, imported into the AD Connector Space and projected into the Metaverse), you cannot change its sourceAnchor value anymore. Per specificare il valore sourceAnchor di un determinato oggetto AD locale, configurare il relativo attributo msDS-ConsistencyGuid prima che venga importato in Azure AD Connect.To specify the sourceAnchor value for a given on-premises AD object, configure its msDS-ConsistencyGuid attribute before it is imported into Azure AD Connect.

È necessaria l'autorizzazionePermission required

Per usare questa funzionalità, l'account AD DS usato per la sincronizzazione con Active Directory locale deve disporre dell'autorizzazione di scrittura per l'attributo msDS-ConsistencyGuid in Active Directory locale.For this feature to work, the AD DS account used to synchronize with on-premises Active Directory must be granted write permission to the msDS-ConsistencyGuid attribute in on-premises Active Directory.

Come abilitare la funzionalità ConsistencyGuid: nuova installazioneHow to enable the ConsistencyGuid feature - New installation

È possibile abilitare l'uso di ConsistencyGuid come sourceAnchor durante una nuova installazione.You can enable the use of ConsistencyGuid as sourceAnchor during new installation. Questa sezione descrive dettagliatamente sia l'installazione rapida che quella personalizzata.This section covers both Express and Custom installation in details.

Nota

Solo le versioni più recenti di Azure AD Connect, 1.1.524.0 e successive, supportano l'uso di ConsistencyGuid come sourceAnchor durante una nuova installazione.Only newer versions of Azure AD Connect (1.1.524.0 and after) supports the use of ConsistencyGuid as sourceAnchor during new installation.

Come abilitare la funzionalità ConsistencyGuidHow to enable the ConsistencyGuid feature

Al momento la funzionalità può essere abilitata solo durante una nuova installazione di Azure AD Connect.Currently, the feature can only be enabled during new Azure AD Connect installation only.

Installazione rapidaExpress Installation

Quando si installa Azure AD Connect in modalità rapida, la procedura guidata di Azure AD Connect determina automaticamente l'attributo AD più appropriato da usare come attributo sourceAnchor mediante la logica seguente:When installing Azure AD Connect with Express mode, the Azure AD Connect wizard automatically determines the most appropriate AD attribute to use as the sourceAnchor attribute using the following logic:

  • In primo luogo, la procedura guidata di Azure AD Connect invia una query al tenant di Azure AD per recuperare l'attributo AD usato come attributo sourceAnchor nell'installazione di Azure AD Connect precedente (se presente).First, the Azure AD Connect wizard queries your Azure AD tenant to retrieve the AD attribute used as the sourceAnchor attribute in the previous Azure AD Connect installation (if any). Se queste informazioni sono disponibili, Azure AD Connect usa lo stesso attributo AD.If this information is available, Azure AD Connect uses the same AD attribute.

    Nota

    Solo le versioni più recenti di Azure AD Connect, 1.1.524.0 e successive, consentono di archiviare nel tenant di Azure AD le informazioni relative all'attributo sourceAnchor usato durante l'installazione.Only newer versions of Azure AD Connect (1.1.524.0 and after) stores information in your Azure AD tenant about the sourceAnchor attribute used during installation. Le versioni precedenti di Azure AD Connect non lo consentono.Older versions of Azure AD Connect do not.

  • Se le informazioni sull'attributo sourceAnchor usato non sono disponibili, la procedura guidata controlla lo stato dell'attributo msDS-ConsistencyGuid in Active Directory locale.If information about the sourceAnchor attribute used isn't available, the wizard checks the state of the msDS-ConsistencyGuid attribute in your on-premises Active Directory. Se l'attributo non è configurato in un qualsiasi oggetto nella directory, la procedura usa l'attributo msDS-ConsistencyGuid come attributo sourceAnchor.If the attribute isn't configured on any object in the directory, the wizard uses the msDS-ConsistencyGuid as the sourceAnchor attribute. Se l'attributo è configurato su uno o più oggetti nella directory, la procedura conclude che l'attributo è usato da altre applicazioni e non è adatto come attributo sourceAnchor.If the attribute is configured on one or more objects in the directory, the wizard concludes the attribute is being used by other applications and is not suitable as sourceAnchor attribute...

  • In questo caso, la procedura guidata esegue il fallback usando objectGUID come attributo sourceAnchor.In which case, the wizard falls back to using objectGUID as the sourceAnchor attribute.

  • Dopo aver definito l'attributo sourceAnchor, la procedura guidata archivia le informazioni nel tenant di Azure AD.Once the sourceAnchor attribute is decided, the wizard stores the information in your Azure AD tenant. Le informazioni verranno usate nelle installazioni future di Azure AD Connect.The information will be used by future installation of Azure AD Connect.

Dopo aver completato l'installazione rapida, la procedura guidata informa l'utente dell'attributo selezionato come attributo sourceAnchor.Once Express installation completes, the wizard informs you which attribute has been picked as the Source Anchor attribute.

La procedura guidata segnala l'attributo di AD selezionato come sourceAnchor

Installazione personalizzataCustom installation

Quando si installa Azure AD Connect in modalità personalizzata, la procedura guidata di Azure AD Connect offre due opzioni per la configurazione dell'attributo sourceAnchor:When installing Azure AD Connect with Custom mode, the Azure AD Connect wizard provides two options when configuring sourceAnchor attribute:

Installazione personalizzata - Configurazione di sourceAnchor

ImpostazioneSetting DescrizioneDescription
Consenti ad Azure di gestire automaticamente l'ancoraggio di origineLet Azure manage the source anchor for me Selezionare questa opzione se si vuole che Azure AD selezioni automaticamente l'attributo.Select this option if you want Azure AD to pick the attribute for you. Se si seleziona questa opzione, la procedura guidata di Azure AD Connect applica la stessa logica di selezione dell'attributo sourceAnchor usata durante l'installazione rapida.If you select this option, Azure AD Connect wizard applies the same sourceAnchor attribute selection logic used during Express installation. Alla stregua dell'installazione rapida, la procedura guidata informa l'utente sull'attributo selezionato come attributo sourceAnchor al termine dell'installazione personalizzata.Similar to Express installation, the wizard informs you which attribute has been picked as the Source Anchor attribute after Custom installation completes.
Attributo specificoA specific attribute Selezionare questa opzione se si vuole specificare un attributo di AD esistente come attributo sourceAnchor.Select this option if you wish to specify an existing AD attribute as the sourceAnchor attribute.

Come abilitare la funzionalità ConsistencyGuid: distribuzione esistenteHow to enable the ConsistencyGuid feature - Existing deployment

Se si ha una distribuzione di Azure AD Connect esistente che usa objectGUID come attributo dell'ancoraggio di origine, è possibile far sì che al suo posto usi ConsistencyGuid.If you have an existing Azure AD Connect deployment which is using objectGUID as the Source Anchor attribute, you can switch it to using ConsistencyGuid instead.

Nota

Solo le versioni più recenti di Azure AD Connect, 1.1.552.0 e successive, supportano il passaggio da ObjectGuid a ConsistencyGuid come attributo dell'ancoraggio di origine.Only newer versions of Azure AD Connect (1.1.552.0 and after) supports switching from ObjectGuid to ConsistencyGuid as the Source Anchor attribute.

Per passare da objectGUID a ConsistencyGuid come attributo dell'ancoraggio di origine:To switch from objectGUID to ConsistencyGuid as the Source Anchor attribute:

  1. Avviare la procedura guidata di Azure AD Connect e fare clic su Configurazione per passare alla schermata Attività.Start the Azure AD Connect wizard and click Configure to go to the Tasks screen.

  2. Selezionare l'opzione attività Configura ancoraggio di origine e fare clic su Avanti.Select the Configure Source Anchor task option and click Next.

    Abilitare ConsistencyGuid per una distribuzione esistente: passaggio 2

  3. Immettere le credenziali di amministratore di Azure AD e fare clic su Avanti.Enter your Azure AD Administrator credentials and click Next.

  4. La procedura guidata di Azure AD Connect analizza lo stato dell'attributo msDS-ConsistencyGuid in Active Directory locale.Azure AD Connect wizard analyzes the state of the msDS-ConsistencyGuid attribute in your on-premises Active Directory. Se l'attributo non è configurato in uno qualsiasi degli oggetti della directory, Azure AD Connect conclude che nessun'altra applicazione sta usando l'attributo e che quindi sia possibile usarlo come attributo dell'ancoraggio di origine.If the attribute isn't configured on any object in the directory, Azure AD Connect concludes that no other application is currently using the attribute and is safe to use it as the Source Anchor attribute. Fare clic su Avanti per continuare.Click Next to continue.

    Abilitare ConsistencyGuid per una distribuzione esistente: passaggio 4

  5. Nella schermata Pronto per la configurazione fare clic su Configurazione per modificare la configurazione.In the Ready to Configure screen, click Configure to make the configuration change.

    Abilitare ConsistencyGuid per una distribuzione esistente: passaggio 5

  6. Una volta completata la configurazione, la procedura guidata indica che ora viene usato msDS-ConsistencyGuid come attributo dell'ancoraggio di origine.Once the configuration completes, the wizard indicates that msDS-ConsistencyGuid is now being used as the Source Anchor attribute.

    Abilitare ConsistencyGuid per una distribuzione esistente: passaggio 6

Durante l'analisi, al passaggio 4, se l'attributo è configurato su uno o più oggetti nella directory, la procedura conclude che l'attributo è usato da un'altra applicazione e restituisce un errore, come illustrato nel diagramma di seguito.During the analysis (step 4), if the attribute is configured on one or more objects in the directory, the wizard concludes the attribute is being used by another application and returns an error as illustrated in the diagram below. Questo errore può verificarsi anche se in precedenza è stata abilitata la funzionalità ConsistencyGuid nel server Azure AD Connect primario e si prova a eseguire la stessa operazione nel server di staging.This error can also occur if you have previously enabled the ConsistencyGuid feature on your primary Azure AD Connect server and you are trying to do the same on your staging server.

Abilitare ConsistencyGuid per una distribuzione esistente: errore

Se si è certi che l'attributo non viene usato da altre applicazioni esistenti, per eliminare l'errore riavviare la procedura guidata di Azure AD Connect specificando /SkipLdapSearchcontact.If you are certain that the attribute isn't used by other existing applications, you can suppress the error by restarting the Azure AD Connect wizard with the /SkipLdapSearchcontact specified. A tale scopo, al prompt dei comandi eseguire questo comando:To do so, run the following command in command prompt:

"c:\Program Files\Microsoft Azure Active Directory Connect\AzureADConnect.exe" /SkipLdapSearch

Impatto su AD FS o configurazione della federazione di terze partiImpact on AD FS or third-party federation configuration

Se si usa Azure AD Connect per gestire la distribuzione di AD FS locale, Azure AD Connect aggiorna automaticamente le regole attestazioni per usare lo stesso attributo di AD come sourceAnchor.If you are using Azure AD Connect to manage on-premises AD FS deployment, the Azure AD Connect automatically updates the claim rules to use the same AD attribute as sourceAnchor. Ciò garantisce che l'attestazione ImmutableID generata da AD FS sia coerente con i valori di sourceAnchor esportati in Azure AD.This ensures that the ImmutableID claim generated by ADFS is consistent with the sourceAnchor values exported to Azure AD.

Se si gestisce AD FS dall'esterno di Azure AD Connect o se per l'autenticazione si usano server federativi di terze parti, è necessario aggiornare manualmente le regole attestazioni affinché l'attestazione ImmutableID sia coerente con i valori di sourceAnchor esportati in Azure AD, come descritto nella sezione dell'articolo Modificare le regole attestazioni per AD FS.If you are managing AD FS outside of Azure AD Connect or you are using third-party federation servers for authentication, you must manually update the claim rules for ImmutableID claim to be consistent with the sourceAnchor values exported to Azure AD as described in article section Modify AD FS claim rules. Al termine dell'installazione, viene visualizzato l'avviso seguente:The wizard returns the following warning after installation completes:

Configurazione della federazione di terze parti

Aggiunta di nuove directory alla distribuzione esistenteAdding new directories to existing deployment

Si supponga di aver distribuito Azure AD Connect con la funzionalità ConsistencyGuid abilitata e di voler aggiungere un'altra directory alla distribuzione.Suppose you have deployed Azure AD Connect with the ConsistencyGuid feature enabled, and now you would like to add another directory to the deployment. Quando si tenta di aggiungere la directory, la procedura guidata di Azure AD Connect controlla lo stato dell'attributo mSDS-ConsistencyGuid nella directory.When you try to add the directory, Azure AD Connect wizard checks the state of the mSDS-ConsistencyGuid attribute in the directory. Se l'attributo è configurato su uno o più oggetti nella directory, la procedura conclude che l'attributo è usato da altre applicazioni e restituisce un errore, come mostrato di seguito.If the attribute is configured on one or more objects in the directory, the wizard concludes the attribute is being used by other applications and returns an error as illustrated in the diagram below. Se si è certi che l'attributo non è usato dalle applicazioni esistenti, è necessario contattare il supporto tecnico per informazioni su come eliminare l'errore.If you are certain that the attribute isn't used by existing applications, you need to contact Support for information on how to suppress the error.

Aggiunta di nuove directory alla distribuzione esistente

Accesso ad Azure ADAzure AD sign-in

Durante l'integrazione della directory locale con Azure AD, è importante capire come le impostazioni di sincronizzazione possono influire sul modo in cui l'utente esegue l'autenticazione.While integrating your on-premises directory with Azure AD, it is important to understand how the synchronization settings can affect the way user authenticates. Azure AD usa userPrincipalName (UPN) per autenticare l'utente.Azure AD uses userPrincipalName (UPN) to authenticate the user. Quando si sincronizzano gli utenti è tuttavia necessario scegliere con attenzione l'attributo da usare per userPrincipalName.However, when you synchronize your users, you must choose the attribute to be used for value of userPrincipalName carefully.

Scegliere l'attributo per userPrincipalNameChoosing the attribute for userPrincipalName

Quando si seleziona l'attributo per specificare il valore di UPN da usare in Azure è necessario verificare quanto segue:When you are selecting the attribute for providing the value of UPN to be used in Azure one should ensure

  • I valori di attributo devono essere conformi alla sintassi UPN (RFC 822), ovvero devono essere nel formato username@domainThe attribute values conform to the UPN syntax (RFC 822), that is it should be of the format username@domain
  • Il suffisso nei valori deve corrispondere a uno dei domini personalizzati verificati in Azure ADThe suffix in the values matches to one of the verified custom domains in Azure AD

Nelle impostazioni rapide come attributo deve essere scelto userPrincipalName.In express settings, the assumed choice for the attribute is userPrincipalName. Se l'attributo userPrincipalName non contiene il valore che si vuole che gli utenti usino per accedere ad Azure, è necessario scegliere l'opzione Installazione personalizzata.If the userPrincipalName attribute does not contain the value you want your users to sign in to Azure, then you must choose Custom Installation.

Stato del dominio personalizzato e UPNCustom domain state and UPN

È importante verificare che esista un dominio verificato per il suffisso UPN.It is important to ensure that there is a verified domain for the UPN suffix.

John è un utente di contoso.com. Si vuole fare in modo che John usi l'UPN locale john@contoso.com per l'accesso ad Azure dopo che è stata eseguita la sincronizzazione degli utenti con la directory di Azure AD contoso.onmicrosoft.com. A tale scopo, è necessario aggiungere e verificare contoso.com come dominio personalizzato in Azure AD per poter avviare la sincronizzazione degli utenti.John is a user in contoso.com. You want John to use the on-premises UPN john@contoso.com to sign in to Azure after you have synced users to your Azure AD directory contoso.onmicrosoft.com. To do so, you need to add and verify contoso.com as a custom domain in Azure AD before you can start syncing the users. Se il suffisso UPN di John, ad esempio contoso.com, non corrisponde a un dominio verificato in Azure AD, il suffisso UPN viene sostituito con contoso.onmicrosoft.com.If the UPN suffix of John, for example contoso.com, does not match a verified domain in Azure AD, then Azure AD replaces the UPN suffix with contoso.onmicrosoft.com.

Domini locali non instradabili e UPN per Azure ADNon-routable on-premises domains and UPN for Azure AD

Alcune organizzazioni usano domini non instradabili, ad esempio contoso.local, o domini semplici con etichetta singola come contoso.Some organizations have non-routable domains, like contoso.local, or simple single label domains like contoso. In Azure AD non è possibile verificare un dominio non instradabile.You are not able to verify a non-routable domain in Azure AD. Azure AD Connect è in grado eseguire la sincronizzazione con un solo dominio verificato in Azure AD.Azure AD Connect can sync to only a verified domain in Azure AD. Quando si crea una directory di Azure AD, viene creato un dominio instradabile che diventa dominio predefinito per Azure AD, ad esempio contoso.onmicrosoft.com. Si rende quindi necessario verificare eventuali altri domini instradabili nello stesso scenario, nel caso in cui non si voglia eseguire la sincronizzazione con il dominio .onmicrosoft.com predefinito.When you create an Azure AD directory, it creates a routable domain that becomes default domain for your Azure AD for example, contoso.onmicrosoft.com. Therefore, it becomes necessary to verify any other routable domain in such a scenario in case you don't want to sync to the default onmicrosoft.com domain.

Per altre informazioni sull'aggiunta e la verifica dei domini, vedere Aggiungere un nome di dominio personalizzato ad Azure Active Directory .Read Add your custom domain name to Azure Active Directory for more info on adding and verifying domains.

Azure AD Connect rileva se l'esecuzione avviene in un ambiente di dominio non instradabile e avvisa che è opportuno non proseguire con le impostazioni rapide.Azure AD Connect detects if you are running in a non-routable domain environment and would appropriately warn you from going ahead with express settings. Se si opera in un dominio non instradabile, è probabile che anche l'UPN degli utenti abbia suffissi non instradabili.If you are operating in a non-routable domain, then it is likely that the UPN of the users have non-routable suffixes too. Ad esempio, se si opera in contoso.local, Azure AD Connect suggerisce di usare le impostazioni personalizzate anziché le impostazioni rapide.For example, if you are running under contoso.local, Azure AD Connect suggests you to use custom settings rather than using express settings. Con le impostazioni personalizzate è possibile specificare l'attributo che deve essere usato come nome UPN per l'accesso ad Azure dopo la sincronizzazione degli utenti con Azure AD.Using custom settings, you are able to specify the attribute that should be used as UPN to sign in to Azure after the users are synced to Azure AD.

Passaggi successiviNext steps

Altre informazioni su Integrazione delle identità locali con Azure Active Directory.Learn more about Integrating your on-premises identities with Azure Active Directory.