Azure AD Connect con un tenant esistenteAzure AD Connect: When you have an existent tenant

La maggior parte degli argomenti che illustrano come usare Azure AD Connect presuppongono che si inizi con un nuovo tenant di Azure AD che non contiene utenti o altri oggetti.Most of the topics for how to use Azure AD Connect assumes you start with a new Azure AD tenant and that there are no users or other objects there. Questo argomento è utile se tuttavia si inizia con un tenant di Azure AD che contiene utenti e altri oggetti e si vuole usare Connect.But if you have started with an Azure AD tenant, populated it with users and other objects, and now want to use Connect, then this topic is for you.

Nozioni di baseThe basics

Un oggetto in Azure AD viene gestito nel cloud (Azure AD) o in locale.An object in Azure AD is either mastered in the cloud (Azure AD) or on-premises. Per un singolo oggetto non è possibile gestire alcuni attributi in locale e altri attributi in Azure AD.For one single object, you cannot manage some attributes on-premises and some other attributes in Azure AD. Ogni oggetto ha un flag che indica dove viene gestito l'oggetto.Each object has a flag indicating where the object is managed.

È possibile gestire alcuni utenti in locale e altri nel cloud.You can manage some users on-premises and other in the cloud. Uno scenario comune per questa configurazione è un'azienda con una combinazione di contabili e addetti alla vendita.A common scenario for this configuration is an organization with a mix of accounting workers and sales workers. I contabili hanno un account AD locale, a differenza degli addetti alla vendita che hanno un account in Azure AD.The accounting workers have an on-premises AD account, but the sales workers do not, they have an account in Azure AD. Alcuni utenti verranno gestiti in locale, alcuni in Azure AD.You would manage some users on-premises and some in Azure AD.

Se si iniziano a gestire in Azure AD utenti che si trovano anche nell'istanza di AD locale e successivamente si vuole usare Connect, è necessario prendere in considerazione altri aspetti.If you started to manage users in Azure AD that are also in on-premises AD and later want to use Connect, then there are some additional concerns you need to consider.

Eseguire la sincronizzazione con gli utenti esistenti in Azure ADSync with existing users in Azure AD

Quando si installa Azure AD Connect e si avvia la sincronizzazione, il servizio di sincronizzazione di Azure AD (in Azure AD) esegue un controllo per ogni nuovo oggetto e prova a trovare un oggetto esistente da associare.When you install Azure AD Connect and you start synchronizing, the Azure AD sync service (in Azure AD) does a check on every new object and try to find an existing object to match. Vengono usati tre attributi per questo processo: userPrincipalName, proxyAddresses e sourceAnchor/immutableID.There are three attributes used for this process: userPrincipalName, proxyAddresses, and sourceAnchor/immutableID. Una corrispondenza per userPrincipalName e proxyAddresses è nota come corrispondenza flessibile.A match on userPrincipalName and proxyAddresses is known as a soft match. Una corrispondenza per sourceAnchor è nota come corrispondenza rigida.A match on sourceAnchor is known as hard match. Per l'attributo proxyAddresses solo il valore con attributo SMTP:, ovvero l'indirizzo di posta elettronica principale, viene usato per la valutazione.For the proxyAddresses attribute only the value with SMTP:, that is the primary email address, is used for the evaluation.

La corrispondenza viene valutata solo per i nuovi oggetti provenienti da Connect.The match is only evaluated for new objects coming from Connect. Se si modifica un oggetto esistente in modo che corrisponda a uno di questi attributi, verrà visualizzato un errore.If you change an existing object so it is matching any of these attributes, then you see an error instead.

Se Azure AD rileva un oggetto in cui i valori di attributo sono gli stessi per un oggetto proveniente da Connect che è già presente in Azure AD, l'oggetto in Azure AD verrà acquisito da Connect.If Azure AD finds an object where the attribute values are the same for an object coming from Connect and that it is already present in Azure AD, then the object in Azure AD is taken over by Connect. L'oggetto precedentemente gestito nel cloud viene contrassegnato come gestito in locale.The previously cloud-managed object is flagged as on-premises managed. Tutti gli attributi in Azure AD con un valore in AD locale vengono sovrascritti con il valore locale.All attributes in Azure AD with a value in on-premises AD are overwritten with the on-premises value. L'eccezione si ha quando un attributo ha un valore NULL in locale.The exception is when an attribute has a NULL value on-premises. In questo caso, il valore in Azure AD viene conservato, ma può essere modificato solo in locale.In this case, the value in Azure AD remains, but you can still only change it on-premises to something else.

Avviso

Poiché tutti gli attributi in Azure AD verranno sovrascritti con il valore locale, accertarsi che i dati locali siano corretti.Since all attributes in Azure AD are going to be overwritten by the on-premises value, make sure you have good data on-premises. Se ad esempio un indirizzo e-mail è stato gestito solo in Office 365, ma non è stato aggiornato nell'istanza di Active Directory Domain Services locale, i valori di Azure AD/Office 365 non presenti in Active Directory Domain Services andranno persi.For example, if you only have managed email address in Office 365 and not kept it updated in on-premises AD DS, then you lose any values in Azure AD/Office 365 not present in AD DS.

Importante

Se si usa la sincronizzazione delle password, opzione sempre usata dalle impostazioni rapide, la password in Azure AD verrà sovrascritta con la password dell'istanza di AD locale.If you use password sync, which is always used by express settings, then the password in Azure AD is overwritten with the password in on-premises AD. Se gli utenti sono abituati a gestire più password, è necessario informarli che dovranno usare la password locale dopo aver installato Connect.If your users are used to manage different passwords, then you need to inform them that they should use the on-premises password when you have installed Connect.

È necessario prendere in considerazione le indicazioni della sezione precedente nella pianificazione.The previous section and warning must be considered in your planning. Se in Azure AD sono state apportate molte modifiche che non sono state applicate nell'istanza di Active Directory Domain Services locale, è necessario pianificare come popolare Active Directory Domain Services con i valori aggiornati prima di sincronizzare gli oggetti con Azure AD Connect.If you have made many changes in Azure AD not reflected in on-premises AD DS, then you need to plan for how to populate AD DS with the updated values before you sync your objects with Azure AD Connect.

Se gli oggetti sono stati associati con una corrispondenza flessibile, verrà aggiunto sourceAnchor all'oggetto in Azure AD e sarà quindi possibile usare una corrispondenza rigida in seguito.If you matched your objects with a soft-match, then the sourceAnchor is added to the object in Azure AD so a hard match can be used later.

Differenza tra corrispondenza rigida e corrispondenza flessibileHard-match vs Soft-match

Per una nuova installazione di Connect, non esiste alcuna differenza pratica tra corrispondenza flessibile e corrispondenza rigida.For a new installation of Connect, there is no practical difference between a soft- and a hard-match. La differenza emerge in una situazione di ripristino di emergenza.The difference is in a disaster recovery situation. Se si è perso il server con Azure AD Connect, è possibile reinstallare una nuova istanza senza perdere i dati.If you have lost your server with Azure AD Connect, you can reinstall a new instance without losing any data. Un oggetto con un attributo sourceAnchor viene inviato a Connect durante l'installazione iniziale.An object with a sourceAnchor is sent to Connect during initial install. La corrispondenza può quindi essere valutata dal client (Azure AD Connect), che per l'operazione impiega molto meno tempo rispetto ad Azure AD.The match can then be evaluated by the client (Azure AD Connect), which is a lot faster than doing the same in Azure AD. Una corrispondenza rigida viene valutata sia da Connect che da Azure AD.A hard match is evaluated both by Connect and by Azure AD. Una corrispondenza flessibile viene valutata solo da Azure AD.A soft match is only evaluated by Azure AD.

Oggetti diversi dagli utentiOther objects than users

Per i gruppi abilitati alla posta e ai contatti è possibile eseguire la corrispondenza flessibile in base a proxyAddresses.For mail-enabled groups and contacts, you can soft-match based on proxyAddresses. La corrispondenza rigida non è applicabile poiché è possibile aggiornare solo sourceAnchor o immutableID (tramite PowerShell) solo per Utenti.Hard-match is not applicable since you can only update the sourceAnchor/immutableID (using PowerShell) on Users only. Per i gruppi che non sono abilitati per la posta non c'è attualmente alcun supporto per la corrispondenza rigida o per la corrispondenza flessibile.For groups that aren't mail-enabled, there is currently no support for soft-match or hard-match.

Creare una nuova istanza di Active Directory locale dai dati di Azure ADCreate a new on-premises Active Directory from data in Azure AD

Alcuni clienti iniziano con una soluzione solo cloud con Azure AD e non hanno un'istanza di AD locale.Some customers start with a cloud-only solution with Azure AD and they do not have an on-premises AD. In un secondo momento intendono usare risorse locali e creare un'istanza di AD locale basata sui dati di Azure AD.Later they want to consume on-premises resources and want to build an on-premises AD based on Azure AD data. Azure AD Connect non potrà essere utile per questo scenario.Azure AD Connect cannot help you for this scenario. Non crea gli utenti locali e non può impostare in locale la stessa password di Azure AD.It does not create users on-premises and it does not have any ability to set the password on-premises to the same as in Azure AD.

Se l'unico motivo per cui si prevede di aggiungere un'istanza di AD locale è il supporto di LOB (app line-of-business), forse è opportuno considerare invece l'uso di Azure AD Domain Services.If the only reason why you plan to add on-premises AD is to support LOBs (Line-of-Business apps), then maybe you should consider to use Azure AD domain services instead.

Passaggi successiviNext steps

Altre informazioni su Integrazione delle identità locali con Azure Active Directory.Learn more about Integrating your on-premises identities with Azure Active Directory.