Prerequisiti di Azure AD ConnectPrerequisites for Azure AD Connect

Questo argomento descrive i prerequisiti e i requisiti hardware per Azure AD Connect.This topic describes the pre-requisites and the hardware requirements for Azure AD Connect.

Prima di installare Azure AD ConnectBefore you install Azure AD Connect

Prima di installare Azure AD Connect, sono necessari alcuni elementi.Before you install Azure AD Connect, there are a few things that you need.

Azure ADAzure AD

  • Sottoscrizione di Azure o sottoscrizione di una versione di valutazione di Azure.An Azure subscription or an Azure trial subscription. Questa sottoscrizione è necessaria solo per l'accesso al portale di Azure e non per l'uso di Azure AD Connect.This subscription is only required for accessing the Azure portal and not for using Azure AD Connect. Se si usa PowerShell oppure Office 365 non è necessaria una sottoscrizione di Azure per usare Azure AD Connect.If you are using PowerShell or Office 365, then you do not need an Azure subscription to use Azure AD Connect. Se si dispone di una licenza di Office 365, è inoltre possibile usare il portale di Office 365.If you have an Office 365 license, then you can also use the Office 365 portal. Con una licenza di Office 365 a pagamento è inoltre possibile accedere al portale di Azure dal portale di Office 365.With a paid Office 365 license, you can also get into the Azure portal from the Office 365 portal.
    • È anche possibile usare il portale Azure,You can also use the Azure portal. che non richiede una licenza di Azure AD.This portal does not require an Azure AD license.
  • Aggiungere e verificare il dominio che si prevede di usare in Azure AD.Add and verify the domain you plan to use in Azure AD. Ad esempio, se si prevede di usare contoso.com per gli utenti, assicurarsi che il dominio sia stato verificato e che non si usi solo il dominio predefinito contoso.onmicrosoft.com.For example, if you plan to use contoso.com for your users then make sure this domain has been verified and you are not only using the contoso.onmicrosoft.com default domain.
  • Per impostazione predefinita, in un tenant di Azure AD sono consentiti 50.000 oggetti.An Azure AD tenant allows by default 50k objects. Quando si verifica il dominio, questo limite aumenta a 300.000 oggetti.When you verify your domain, the limit is increased to 300k objects. Se sono necessari anche più oggetti in Azure AD, è necessario aprire un caso di supporto per aumentare ulteriormente il limite.If you need even more objects in Azure AD, then you need to open a support case to have the limit increased even further. Se sono necessari più di 500.000 oggetti, allora occorre una licenza, ad esempio Office 365, Azure AD Basic, Azure AD Premium o Enterprise Mobility and Security.If you need more than 500k objects, then you need a license, such as Office 365, Azure AD Basic, Azure AD Premium, or Enterprise Mobility and Security.
  • ADSyncPrep è un modulo di script di PowerShell che dispone di funzioni usate per preparare l'ambiente Active Directory per Azure AD Connect.ADSyncPrep is a PowerShell script module that provides functions that are used to prepare your Active Directory environment for Azure AD Connect. ADSyncPrep richiede il modulo PowerShell Azure AD Microsoft Online 1.1.ADSyncPrep requires the Azure AD Microsoft Online v1.1 PowerShell Module. La versione 2 non funzionerà.Version 2 will not work. Sarà possibile installare il modulo usando il cmdlet Install-Module.You will can install the module using the Install-Module cmdlet. Per altre informazioni, vedere il collegamento fornito.For more information see the link provided.

Preparare i dati localiPrepare your on-premises data

Active Directory localeOn-premises Active Directory

  • Il livello funzionale della foresta e della versione dello schema di Active Directory deve essere Windows Server 2003 o versione successiva.The AD schema version and forest functional level must be Windows Server 2003 or later. I controller di dominio possono eseguire qualsiasi versione, purché siano soddisfatti i requisiti del livello dello schema e della foresta.The domain controllers can run any version as long as the schema and forest level requirements are met.
  • Se si prevede di utilizzare la funzionalità writeback delle password, i controller di dominio devono essere in Windows Server 2008 (con Service Pack più recenti) o versioni successive.If you plan to use the feature password writeback, then the Domain Controllers must be on Windows Server 2008 (with latest SP) or later. Se i controller di dominio sono nella versione 2008, precedente a R2, è necessario applicare anche l'hotfix KB2386717.If your DCs are on 2008 (pre-R2), then you must also apply hotfix KB2386717.
  • Il controller di dominio usato da Azure AD deve essere scrivibile.The domain controller used by Azure AD must be writable. Non è supportato l'uso di un controller di dominio di sola lettura e Azure AD Connect non segue alcun reindirizzamento di scrittura.It is not supported to use a RODC (read-only domain controller) and Azure AD Connect does not follow any write redirects.
  • Non è supportato l'uso di foreste o domini locali con SLD (domini con etichetta singola).It is not supported to use on-premises forests/domains using SLDs (Single Label Domains).
  • Non è supportato l'uso di foreste o domini locali con nomi con "punti" (nome contenenti un punto ".") NetBios.It is not supported to use on-premises forests/domains using "dotted" (name contains a period ".") NetBios names.
  • È consigliabile abilitare il Cestino di Active Directory.It is recommended to enable the Active Directory recycle bin.

Server di Azure AD ConnectAzure AD Connect server

  • Azure AD Connect non può essere installato su Small Business Server o Windows Server Essentials.Azure AD Connect cannot be installed on Small Business Server or Windows Server Essentials. Il server deve utilizzare Windows Server Standard o versione successiva.The server must be using Windows Server standard or better.
  • Il server Azure AD Connect deve avere un'interfaccia utente grafica completa installata.The Azure AD Connect server must have a full GUI installed. Non è supportata l'installazione su Server Core.It is not supported to install on server core.
  • Azure AD Connect deve essere installato in Windows Server 2008 o versione successiva.Azure AD Connect must be installed on Windows Server 2008 or later. Questo server può essere un controller di dominio o un server membro, se si usano le impostazioni rapide.This server may be a domain controller or a member server when using express settings. Se si usano le impostazioni personalizzate, il server può anche essere autonomo e non deve essere aggiunto a un dominio.If you use custom settings, then the server can also be stand-alone and does not have to be joined to a domain.
  • Se si installa Azure AD Connect in Windows Server 2008 o Windows Server 2008 R2, assicurarsi di applicare gli hotfix più recenti da Windows Update.If you install Azure AD Connect on Windows Server 2008 or Windows Server 2008 R2, then make sure to apply the latest hotfixes from Windows Update. Se il server non dispone delle patch, l'installazione non può iniziare.The installation is not able to start with an unpatched server.
  • Se si prevede di usare la funzionalità di sincronizzazione delle password, il server di Azure AD Connect deve essere in Windows Server 2008 R2 SP1 o versione successiva.If you plan to use the feature password synchronization, then the Azure AD Connect server must be on Windows Server 2008 R2 SP1 or later.
  • Se si prevede di usare un account del servizio gestito del gruppo, il server Azure AD Connect deve essere installato su Windows Server 2012 o versioni successive.If you plan to use a group managed service account, then the Azure AD Connect server must be on Windows Server 2012 or later.
  • Nel server Azure AD Connect devono essere installati.NET Framework 4.5.1 o versione successiva e Microsoft PowerShell 3.0 o versione successiva.The Azure AD Connect server must have .NET Framework 4.5.1 or later and Microsoft PowerShell 3.0 or later installed.
  • Nel server Azure AD Connect non deve essere abilitato il criterio di gruppo per la trascrizione di PowerShell.The Azure AD Connect server must not have PowerShell Transcription Group Policy enabled.
  • Se viene distribuito Active Directory Federation Services, i server in cui viene installato AD FS o il proxy dell'applicazione Web devono essere Windows Server 2012 R2 o versione successiva.If Active Directory Federation Services is being deployed, the servers where AD FS or Web Application Proxy are installed must be Windows Server 2012 R2 or later. Gestione remota Windows .Windows remote management must be enabled on these servers for remote installation.
  • Se viene distribuito Active Directory Federation Services, sono necessari i Certificati SSL.If Active Directory Federation Services is being deployed, you need SSL Certificates.
  • Se viene distribuito Active Directory Federation Services, è necessario configurare la risoluzione dei nomi.If Active Directory Federation Services is being deployed, then you need to configure name resolution.
  • Se gli amministratori globali hanno abilitato l'autenticazione MFA, l'URL https://secure.aadcdn.microsoftonline-p.com deve essere incluso nell'elenco dei siti attendibili.If your global administrators have MFA enabled, then the URL https://secure.aadcdn.microsoftonline-p.com must be in the trusted sites list. Viene richiesto di aggiungere il sito all'elenco dei siti attendibili quando viene richiesta la verifica MFA, se non è stata aggiunta prima.You are prompted to add this site to the trusted sites list when you are prompted for an MFA challenge and it has not added before. È possibile usare Internet Explorer per aggiungerlo ai siti attendibili.You can use Internet Explorer to add it to your trusted sites.

SQL Server usato da Azure AD ConnectSQL Server used by Azure AD Connect

  • Per archiviare i dati sull'identità, Azure AD Connect richiede un database SQL.Azure AD Connect requires a SQL Server database to store identity data. Per impostazione predefinita viene installato SQL Server 2012 Express LocalDB (una versione ridotta di SQL Server Express).By default a SQL Server 2012 Express LocalDB (a light version of SQL Server Express) is installed. SQL Server Express ha un limite di dimensioni di 10 GB che consente di gestire circa 100.000 oggetti.SQL Server Express has a 10GB size limit that enables you to manage approximately 100,000 objects. Se è necessario gestire un numero di oggetti directory maggiore, si dovrà installare una versione di SQL Server diversa.If you need to manage a higher volume of directory objects, you need to point the installation wizard to a different installation of SQL Server.
  • Se si usa un SQL Server separato, si applicano questi requisiti:If you use a separate SQL Server, then these requirements apply:
    • Azure AD Connect supporta tutte le versioni di Microsoft SQL Server da SQL Server 2008 (con il Service Pack più recente) a SQL Server 2016 SP1.Azure AD Connect supports all versions of Microsoft SQL Server from SQL Server 2008 (with latest Service Pack) to SQL Server 2016 SP1. Il database SQL di Microsoft Azure non è supportato come database.Microsoft Azure SQL Database is not supported as a database.
    • È necessario usare regole di confronto SQL senza distinzione tra maiuscole e minuscole.You must use a case-insensitive SQL collation. Queste regole di confronto sono identificate da _CI_ all'interno del nome.These collations are identified with a _CI_ in their name. Non è supportato l'uso di regole di confronto con distinzione tra maiuscole e minuscole identificate da CS\ all'interno del nome.It is not supported to use a case-sensitive collation, identified by _CS_ in their name.
    • È possibile avere un unico motore di sincronizzazione per istanza SQL.You can only have one sync engine per SQL instance. Non è supportata la condivisione dell'istanza SQL con la sincronizzazione FIM/MIM, DirSync o Azure AD Sync.It is not supported to share a SQL instance with FIM/MIM Sync, DirSync, or Azure AD Sync.

AccountAccounts

  • Un account amministratore globale di Azure AD per il tenant di Azure AD con cui si vuole eseguire l'integrazione.An Azure AD Global Administrator account for the Azure AD tenant you wish to integrate with. Questo account deve essere un account aziendale o dell'istituto di istruzione e non un account Microsoft.This account must be a school or organization account and cannot be a Microsoft account.
  • Se si usano le impostazioni rapide o si esegue l'aggiornamento da DirSync, è necessario disporre di un account di amministratore dell'organizzazione per il servizio Active Directory locale.If you use express settings or upgrade from DirSync, then you must have an Enterprise Administrator account for your local Active Directory.
  • account di Active Directory se si usa il percorso di installazione delle impostazioni personalizzate.Accounts in Active Directory if you use the custom settings installation path.

ConnettivitàConnectivity

  • Il server Azure AD Connect necessita della risoluzione DNS per Intranet e Internet.The Azure AD Connect server needs DNS resolution for both intranet and internet. Il server DNS deve essere in grado di risolvere i nomi per gli endpoint locali di Active Directory e per gli endpoint di Azure AD.The DNS server must be able to resolve names both to your on-premises Active Directory and the Azure AD endpoints.
  • Se sono presenti firewall nella rete Intranet ed è necessario aprire alcune porte tra i server Azure AD Connect e i controller di dominio, vedere Azure AD Connect: porte per altre informazioni.If you have firewalls on your Intranet and you need to open ports between the Azure AD Connect servers and your domain controllers, then see Azure AD Connect Ports for more information.
  • Se il proxy o il firewall limita gli URL a cui è possibile accedere, gli URL documentati in URL e intervalli di indirizzi IP per Office 365 devono essere aperti.If your proxy or firewall limit which URLs can be accessed, then the URLs documented in Office 365 URLs and IP address ranges must be opened.
  • Per impostazione predefinita Azure AD Connect (versione 1.1.614.0 e successive) usa TLS 1.2 per crittografare le comunicazioni tra il motore di sincronizzazione e Azure AD.Azure AD Connect (version 1.1.614.0 and after) by default uses TLS 1.2 for encrypting communication between the sync engine and Azure AD. Se TLS 1.2 non è disponibile nel sistema operativo sottostante, Azure AD Connect esegue il fallback in modo incrementale sui protocolli meno recenti (TLS 1.1 e TLS 1.0).If TLS 1.2 isn't available on the underlying operating system, Azure AD Connect incrementally falls back to older protocols (TLS 1.1 and TLS 1.0). Ad esempio, Azure AD Connect, in esecuzione su Windows Server 2008, usa TLS 1.0, poiché Windows Server 2008 non supporta TLS 1.1 o TLS 1.2.For example, Azure AD Connect running on Windows Server 2008 uses TLS 1.0 because Windows Server 2008 does not support TLS 1.1 or TLS 1.2.
  • Prima della versione 1.1.614.0, per impostazione predefinita, Azure AD Connect usa TLS 1.0 per crittografare le comunicazioni tra il motore di sincronizzazione e Azure AD.Prior to version 1.1.614.0, Azure AD Connect by default uses TLS 1.0 for encrypting communication between the sync engine and Azure AD. Per passare a TLS 1.2 seguire i passaggi descritti in Abilitare TLS 1.2 per Azure AD Connect.To change to TLS 1.2, follow the steps in Enable TLS 1.2 for Azure AD Connect.
  • Se per la connessione a Internet si usa un proxy per il traffico in uscita, è necessario aggiungere l'impostazione seguente al file C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config per consentire all'installazione guidata e al servizio di sincronizzazione Azure AD Connect di connettersi a Internet e ad Azure AD.If you are using an outbound proxy for connecting to the Internet, the following setting in the C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config file must be added for the installation wizard and Azure AD Connect sync to be able to connect to the Internet and Azure AD. Questo testo deve essere immesso alla fine del file.This text must be entered at the bottom of the file. In questo codice <PROXYADRESS> rappresenta l'effettivo indirizzo IP o nome host del proxy.In this code, <PROXYADRESS> represents the actual proxy IP address or host name.
    <system.net>
        <defaultProxy>
            <proxy
            usesystemdefault="true"
            proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
            bypassonlocal="true"
            />
        </defaultProxy>
    </system.net>
  • Se il server proxy richiede l'autenticazione, l'account del servizio deve trovarsi nel dominio ed è necessario specificare un account del servizio personalizzato tramite il percorso di installazione delle impostazioni personalizzate.If your proxy server requires authentication, then the service account must be located in the domain and you must use the customized settings installation path to specify a custom service account. È inoltre necessario modificare il file machine.config, in modo tale che l'installazione guidata e il motore di sincronizzazione rispondano alle richieste di autenticazione provenienti dal server proxy.You also need a different change to machine.config. With this change in machine.config, the installation wizard and sync engine respond to authentication requests from the proxy server. In tutte le pagine dell'istallazione guidata, esclusa la pagina Configura, vengono usate le credenziali dell'utente che ha effettuato l'accesso.In all installation wizard pages, excluding the Configure page, the signed in user's credentials are used. Nella pagina Configura alla fine dell'installazione guidata il contesto passa all'account del servizio creato.On the Configure page at the end of the installation wizard, the context is switched to the service account that was created by you. La sezione machine.config dovrebbe essere simile alla seguente sezione.The machine.config section should look like this.
    <system.net>
        <defaultProxy enabled="true" useDefaultCredentials="true">
            <proxy
            usesystemdefault="true"
            proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
            bypassonlocal="true"
            />
        </defaultProxy>
    </system.net>
  • Quando Azure AD Connect invia una richiesta Web ad Azure AD come parte della sincronizzazione della directory, possono essere necessari fino a 5 minuti per ottenere la risposta da Azure AD.When Azure AD Connect sends a web request to Azure AD as part of directory synchronization, Azure AD can take up to 5 minutes to respond. Accade spesso che i server proxy abbiano una configurazione per il timeout di inattività della connessione.It is common for proxy servers to have connection idle timeout configuration. Verificare che la configurazione sia impostata almeno su 6 minuti o più.Please ensure the configuration is set to at least 6 minutes or more.

Per altre informazioni vedere MSDN sull'elemento proxy predefinito.For more information, see MSDN about the default proxy Element.
Per altre informazioni in caso di problemi di connettività, vedere Risolvere i problemi di connettività.For more information when you have problems with connectivity, see Troubleshoot connectivity problems.

AltriOther

  • Facoltativo: un account utente di prova per verificare la sincronizzazione.Optional: A test user account to verify synchronization.

Prerequisiti dei componentiComponent prerequisites

PowerShell e .Net FrameworkPowerShell and .Net Framework

Azure AD Connect si basa su Microsoft PowerShell e .NET Framework 4.5.1.Azure AD Connect depends on Microsoft PowerShell and .NET Framework 4.5.1. Nel server deve essere installata questa versione o una versione successiva.You need this version or a later version installed on your server. In base alla versione di Windows Server, seguire questa procedura:Depending on your Windows Server version, do the following:

  • Windows Server 2012 R2Windows Server 2012R2
    • Microsoft PowerShell viene installato per impostazione predefinita,Microsoft PowerShell is installed by default. non è necessaria alcuna azione.No action is required.
    • .NET Framework 4.5.1 e versioni successive sono disponibili tramite Windows Update..NET Framework 4.5.1 and later releases are offered through Windows Update. Assicurarsi di aver installato gli aggiornamenti più recenti per Windows Server nel Pannello di controllo.Make sure you have installed the latest updates to Windows Server in the Control Panel.
  • Windows Server 2008 R2 e Windows Server 2012Windows Server 2008R2 and Windows Server 2012
  • Windows Server 2008Windows Server 2008

Abilitare TLS 1.2 per Azure AD ConnectEnable TLS 1.2 for Azure AD Connect

Prima della versione 1.1.614.0, per impostazione predefinita Azure AD Connect usa TLS 1.0 per crittografare le comunicazioni tra il server del motore di sincronizzazione e Azure AD.Prior to version 1.1.614.0, Azure AD Connect by default uses TLS 1.0 for encrypting the communication between the sync engine server and Azure AD. È possibile modificare questa impostazione configurando le applicazioni .Net in modo che usino TLS 1.2 per impostazione predefinita nel server.You can change this by configuring .Net applications to use TLS 1.2 by default on the server. Altre informazioni su TLS 1.2 sono disponibili nell'articolo Advisory Microsoft sulla sicurezza 2960358.More information about TLS 1.2 can be found in Microsoft Security Advisory 2960358.

  1. Non è possibile abilitare TLS 1.2 in Windows Server 2008.TLS 1.2 cannot be enabled on Windows Server 2008. È necessario Windows Server 2008 R2 o una versione successiva.You need Windows Server 2008R2 or later. Assicurarsi di aver installato l'hotfix di .Net 4.5.1 per il sistema operativo. Vedere Advisory Microsoft sulla sicurezza 2960358.Make sure you have the .Net 4.5.1 hotfix installed for your operating system, see Microsoft Security Advisory 2960358. Questo hotfix o una versione successiva potrebbe essere già installata nel server.You might have this hotfix or a later release installed on your server already.
  2. Se si usa Windows Server 2008 R2, verificare che TLS 1.2 sia abilitato.If you use Windows Server 2008R2, then make sure TLS 1.2 is enabled. In Windows Server 2012 e versioni successive, TLS 1.2 dovrebbe essere già abilitato.On Windows Server 2012 server and later versions, TLS 1.2 should already be enabled. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001
  3. Per tutti i sistemi operativi impostare questa chiave del Registro di sistema e riavviare il server.For all operating systems, set this registry key and restart the server. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319 "SchUseStrongCrypto"=dword:00000001
  4. Se si vuole anche abilitare TLS 1.2 tra il server del motore di sincronizzazione e un SQL Server remoto, assicurarsi che siano installate le versioni necessarie per il supporto di TLS 1.2 per Microsoft SQL Server.If you also want to enable TLS 1.2 between the sync engine server and a remote SQL Server, then make sure you have the required versions installed for TLS 1.2 support for Microsoft SQL Server.

Prerequisiti per l'installazione e la configurazione dei servizi federativiPrerequisites for federation installation and configuration

Gestione remota WindowsWindows Remote Management

Quando si usa Azure AD Connect per distribuire Active Directory Federation Services o il Proxy applicazione Web, verificare i requisiti di seguito:When using Azure AD Connect to deploy Active Directory Federation Services or the Web Application Proxy, check these requirements:

  • Se il server di destinazione fa parte del dominio, verificare che Windows Remote Managed sia abilitatoIf the target server is domain joined, then ensure that Windows Remote Managed is enabled
    • In una finestra di comando PSH con privilegi elevati, utilizzare il comando Enable-PSRemoting –forceIn an elevated PSH command window, use command Enable-PSRemoting –force
  • Se il server di destinazione è un computer WAP non appartenente al dominio, è necessario considerare alcuni requisiti aggiuntiviIf the target server is a non-domain joined WAP machine, then there are a couple of additional requirements
    • Nel computer di destinazione (computer WAP):On the target machine (WAP machine):
      • Verificare che il servizio winrm (Windows Remote Management / WS-Management) sia in esecuzione tramite lo snap-in ServiziEnsure the winrm (Windows Remote Management / WS-Management) service is running via the Services snap-in
      • In una finestra di comando PSH con privilegi elevati, utilizzare il comando Enable-PSRemoting –forceIn an elevated PSH command window, use command Enable-PSRemoting –force
    • Nel computer in cui viene eseguita la procedura guidata (se il computer di destinazione non appartiene a un dominio o appartiene a un dominio non attendibile):On the machine on which the wizard is running (if the target machine is non-domain joined or untrusted domain):
      • In una finestra di comando PSH con privilegi elevati, utilizzare il comando Set-Item WSMan:\localhost\Client\TrustedHosts –Value <DMZServerFQDN> -Force –ConcatenateIn an elevated PSH command window, use the command Set-Item WSMan:\localhost\Client\TrustedHosts –Value <DMZServerFQDN> -Force –Concatenate
      • In Server Manager:In Server Manager:
        • Aggiungere l'host DMZ WAP al pool di computer (scheda gestione server -> Gestisci -> Aggiungi server...usa DNS)add DMZ WAP host to machine pool (server manager -> Manage -> Add Servers...use DNS tab)
        • Scheda Gestione server Tutti i server: fare clic con il pulsante destro del mouse sul server WAP e scegliere Gestisci come, immettere le credenziali locali (non di dominio) per il computer WAPServer Manager All Servers tab: right click WAP server and choose Manage As..., enter local (not domain) creds for the WAP machine
        • Per convalidare la connettività PSH remota, nella scheda Gestione server Tutti i server: fare clic con il pulsante destro del mouse sul server WAP e scegliere Windows PowerShell.To validate remote PSH connectivity, in the Server Manager All Servers tab: right click WAP server and choose Windows PowerShell. Si dovrebbe aprire una sessione remota di PSH per garantire sia possibile stabilire sessioni remote di PowerShell.A remote PSH session should open to ensure remote PowerShell sessions can be established.

Requisiti dei certificati SSLSSL Certificate Requirements

  • È consigliabile usare lo stesso certificato SSL in tutti i nodi della farm AD FS e in tutti i server proxy dell'Applicazione Web.It’s strongly recommended to use the same SSL certificate across all nodes of your AD FS farm and all Web Application proxy servers.
  • Il certificato deve essere un certificato X509.The certificate must be an X509 certificate.
  • È possibile utilizzare un certificato autofirmato su server federativi in un ambiente di testing.You can use a self-signed certificate on federation servers in a test lab environment. Tuttavia, per un ambiente di produzione, si consiglia di ottenere il certificato da una CA pubblica.However, for a production environment, we recommend that you obtain the certificate from a public CA.
    • Se si utilizza un certificato non attendibile pubblicamente, assicurarsi che il certificato installato su ciascun server Proxy applicazione Web sia attendibile nel server locale e in tutti i server federativiIf using a certificate that is not publicly trusted, ensure that the certificate installed on each Web Application Proxy server is trusted on both the local server and on all federation servers
  • L'identità del certificato deve corrispondere al nome del servizio federativo (ad esempio, sts.contoso.com).The identity of the certificate must match the federation service name (for example, sts.contoso.com).
    • L'identità è un'estensione nome alternativo del soggetto (SAN) di tipo dNSName o, se non sono presenti voci SAN, il nome del soggetto specificato come nome comune.The identity is either a subject alternative name (SAN) extension of type dNSName or, if there are no SAN entries, the subject name specified as a common name.
    • Nel certificato possono essere presenti più voci SAN, purché una di esse corrisponda al nome del servizio federativo.Multiple SAN entries can be present in the certificate, provided one of them matches the federation service name.
    • Se si prevede di usare Aggiunta all'area di lavoro, è richiesto un SAN aggiuntivo con il valore enterpriseregistration.If you are planning to use Workplace Join, an additional SAN is required with the value enterpriseregistration. seguito dal suffisso del nome dell'entità utente (UPN) dell'organizzazione, ad esempio enterpriseregistration.contoso.com.followed by the User Principal Name (UPN) suffix of your organization, for example, enterpriseregistration.contoso.com.
  • I certificati basati su chiavi CNG (CryptoAPI next generation) chiavi e i provider di archiviazione chiavi non sono supportati.Certificates based on CryptoAPI next generation (CNG) keys and key storage providers are not supported. Ciò significa che è necessario utilizzare un certificato basato su un provider del servizio di crittografia e non su un provider di archiviazione chiavi.This means you must use a certificate based on a CSP (cryptographic service provider) and not a KSP (key storage provider).
  • I certificati con caratteri jolly sono supportati.Wild-card certificates are supported.

Risoluzione dei nomi per i server federativiName resolution for federation servers

  • Configurare i record DNS per il nome di servizio della federazione AD FS (ad esempio, sts.contoso.com) sia per la rete Intranet (il server DNS interno), sia per la rete Extranet (DNS pubblico attraverso il registrar di dominio).Set up DNS records for the AD FS federation service name (for example sts.contoso.com) for both the intranet (your internal DNS server) and the extranet (public DNS through your domain registrar). Per il record DNS Intranet, accertarsi di usare record A e non record CNAME.For the intranet DNS record, ensure that you use A records and not CNAME records. Tale operazione è necessaria affinché l'autenticazione di Windows funzioni correttamente dal computer unito al dominio.This is required for windows authentication to work correctly from your domain joined machine.
  • Se si distribuiscono più server AD FS o server Proxy applicazione Web, assicurarsi di aver configurato il servizio di bilanciamento del carico e che i record DNS per il nome del servizio federativo AD FS (ad esempio, sts.contoso.com) puntino al bilanciamento del carico.If you are deploying more than one AD FS server or Web Application Proxy server, then ensure that you have configured your load balancer and that the DNS records for the AD FS federation service name (for example sts.contoso.com) point to the load balancer.
  • Perché l'autenticazione integrata di Windows funzioni correttamente per le applicazioni browser con Internet Explorer nella rete Intranet, verificare che il nome del servizio federativo AD FS (ad esempio, adfs.contoso.com) venga aggiunto all'area Intranet in Internet Explorer.For windows integrated authentication to work for browser applications using Internet Explorer in your intranet, ensure that the AD FS federation service name (for example sts.contoso.com) is added to the intranet zone in IE. Tale operazione può essere controllata tramite criteri di gruppo e distribuita a tutti i computer appartenenti al dominio.This can be controlled via group policy and deployed to all your domain joined computers.

Componenti di supporto di Azure AD ConnectAzure AD Connect supporting components

Di seguito è riportato un elenco di componenti che vengono installati da Azure AD Connect nel server in cui è installato Azure AD Connect.The following is a list of components that Azure AD Connect installs on the server where Azure AD Connect is installed. L'elenco riguarda un'istallazione di SQL Express di base.This list is for a basic Express installation. Se si sceglie di usare una versione diversa di SQL Server nella pagina Installazione dei servizi di sincronizzazione, SQL Express LocalDB non viene installato in locale.If you choose to use a different SQL Server on the Install synchronization services page, then SQL Express LocalDB is not installed locally.

  • Azure AD Connect HealthAzure AD Connect Health
  • Assistente per l'accesso a Microsoft Online Services per professionisti IT (installato ma senza dipendenze)Microsoft Online Services Sign-In Assistant for IT Professionals (installed but no dependency on it)
  • Utilità della riga di comando di Microsoft SQL Server 2012Microsoft SQL Server 2012 Command Line Utilities
  • Microsoft SQL Server 2012 Express LocalDBMicrosoft SQL Server 2012 Express LocalDB
  • Client nativo di Microsoft SQL Server 2012Microsoft SQL Server 2012 Native Client
  • Microsoft Visual C++ 2013 Redistribution PackageMicrosoft Visual C++ 2013 Redistribution Package

Requisiti hardware per Azure AD ConnectHardware requirements for Azure AD Connect

La tabella seguente indica i requisiti minimi di sincronizzazione di Azure AD Connect per il computer.The table below shows the minimum requirements for the Azure AD Connect sync computer.

Numero di oggetti in Active DirectoryNumber of objects in Active Directory CPUCPU MemoriaMemory Dimensioni del disco rigidoHard drive size
Meno di 10.000Fewer than 10,000 1,6 GHz1.6 GHz 4 GB4 GB 70 GB70 GB
10.000-50.00010,000–50,000 1,6 GHz1.6 GHz 4 GB4 GB 70 GB70 GB
50.000-100.00050,000–100,000 1,6 GHz1.6 GHz 16 GB16 GB 100 GB100 GB
Per 100.000 o più oggetti, è necessaria la versione completa di SQL ServerFor 100,000 or more objects the full version of SQL Server is required
100.000-300.000100,000–300,000 1,6 GHz1.6 GHz 32 GB32 GB 300 GB300 GB
300.000-600.000300,000–600,000 1,6 GHz1.6 GHz 32 GB32 GB 450 GB450 GB
Più di 600.000More than 600,000 1,6 GHz1.6 GHz 32 GB32 GB 500 GB500 GB

I requisiti minimi per i computer che eseguono ADFS o i server applicazioni Web sono i seguenti:The minimum requirements for computers running AD FS or Web Application Servers is the following:

  • CPU: dual core da 1,6 GHz o superioreCPU: Dual core 1.6 GHz or higher
  • MEMORIA: 2 GB o superioreMEMORY: 2 GB or higher
  • Macchina virtuale di Azure: configurazione A2 o superioreAzure VM: A2 configuration or higher

Passaggi successiviNext steps

Altre informazioni su Integrazione delle identità locali con Azure Active Directory.Learn more about Integrating your on-premises identities with Azure Active Directory.