Topologie per Azure AD ConnectTopologies for Azure AD Connect

Questo articolo descrive diverse topologie locali e di Azure Active Directory (Azure AD) che usano il Servizio di sincronizzazione Azure AD Connect come soluzione di integrazione chiave.This article describes various on-premises and Azure Active Directory (Azure AD) topologies that use Azure AD Connect sync as the key integration solution. Questo articolo include le configurazioni supportate e non supportate.This article includes both supported and unsupported configurations.

Ecco la legenda delle immagini usate nell'articolo:Here's the legend for pictures in the article:

DescrizioneDescription SimboloSymbol
Foresta locale di Active DirectoryOn-premises Active Directory forest Foresta locale di Active Directory
Active Directory locale con importazione con filtriOn-premises Active Directory with filtered import Active Directory con importazione con filtri
Server di sincronizzazione di Azure AD ConnectAzure AD Connect sync server Server di sincronizzazione di Azure AD Connect
Server di sincronizzazione di Azure AD Connect in "modalità di staging"Azure AD Connect sync server “staging mode” Server di sincronizzazione di Azure AD Connect in "modalità di staging"
GALSync con Forefront Identity Manager (FIM) 2010 o Microsoft Identity Manager (MIM) 2016GALSync with Forefront Identity Manager (FIM) 2010 or Microsoft Identity Manager (MIM) 2016 GALSync con FIM 2010 o MIM 2016
Dettagli relativi al server di sincronizzazione di Azure AD ConnectAzure AD Connect sync server, detailed Dettagli relativi al server di sincronizzazione di Azure AD Connect
Azure ADAzure AD Azure Active Directory
Scenario non supportatoUnsupported scenario Scenario non supportato

Foresta singola, tenant singolo di Azure ADSingle forest, single Azure AD tenant

Topologia per una foresta singola e un tenant singolo

La topologia più comune è costituita da una singola foresta locale, con uno o più domini, e un tenant singolo di Azure AD.The most common topology is a single on-premises forest, with one or multiple domains, and a single Azure AD tenant. Per l'autenticazione di Azure AD viene usata la sincronizzazione delle password.For Azure AD authentication, password synchronization is used. L'installazione rapida di Azure AD Connect supporta unicamente questa topologia.The express installation of Azure AD Connect supports only this topology.

Foresta singola, più server di sincronizzazione a un tenant di Microsoft AzureSingle forest, multiple sync servers to one Azure AD tenant

Topologia con filtri non supportata per una foresta singola

Non è supportato lo scenario che prevede più server di sincronizzazione di Azure AD Connect connessi allo stesso tenant di Azure AD, a eccezione di un server di staging.Having multiple Azure AD Connect sync servers connected to the same Azure AD tenant is not supported, except for a staging server. Non è supportato neanche se i server sono configurati per la sincronizzazione con un set di oggetti che si escludono a vicenda.It's unsupported even if these servers are configured to synchronize with a mutually exclusive set of objects. Questa topologia potrebbe essere stata presa in considerazione se non è possibile raggiungere tutti i domini della foresta da un unico server o se si vuole distribuire il carico tra server diversi.You might have considered this topology if you can't reach all domains in the forest from a single server, or if you want to distribute load across several servers.

Più foreste, tenant singolo di Azure ADMultiple forests, single Azure AD tenant

Topologia per più foreste e un tenant singolo

In molte organizzazioni sono presenti ambienti con più foreste Active Directory locali.Many organizations have environments with multiple on-premises Active Directory forests. La presenza di più foreste Active Directory locali può essere dovuta a vari motivi.There are various reasons for having more than one on-premises Active Directory forest. Esempi tipici sono costituiti da progettazioni con foreste di account-risorse e dai risultati di fusioni o acquisizioni.Typical examples are designs with account-resource forests and the result of a merger or acquisition.

Quando sono presenti più foreste, devono essere tutte raggiungibili da un singolo server di sincronizzazione di Azure AD Connect.When you have multiple forests, all forests must be reachable by a single Azure AD Connect sync server. Non è necessario aggiungere il server a un dominio.You don't have to join the server to a domain. Se è necessario raggiungere tutte le foreste, è possibile inserire il server in una rete perimetrale.If necessary to reach all forests, you can place the server in a perimeter network (also known as DMZ, demilitarized zone, and screened subnet).

L'installazione guidata di Azure AD Connect offre diverse opzioni per consolidare gli utenti rappresentati in più foreste.The Azure AD Connect installation wizard offers several options to consolidate users who are represented in multiple forests. L'obiettivo è fare in modo che un utente sia rappresentato una sola volta in Azure AD.The goal is that a user is represented only once in Azure AD. Nell'installazione guidata sono disponibili alcune topologie comuni che è possibile configurare nel percorso di installazione personalizzato.There are some common topologies that you can configure in the custom installation path in the installation wizard. Nella pagina Identificazione univoca per gli utenti selezionare l'opzione corrispondente che rappresenta la topologia.On the Uniquely identifying your users page, select the corresponding option that represents your topology. Il consolidamento viene configurato solo per gli utenti.The consolidation is configured only for users. I gruppi duplicati non vengono consolidati con la configurazione predefinita.Duplicated groups are not consolidated with the default configuration.

Le topologie comuni sono illustrate nelle sezioni su topologie separate, a maglia completa e topologie account-risorse.Common topologies are discussed in the sections about separate topologies, full mesh, and the account-resource topology.

La configurazione predefinita del servizio di sincronizzazione Azure AD Connect presuppone quanto segue:The default configuration in Azure AD Connect sync assumes:

  • Ogni utente ha solo un account abilitato e la foresta in cui si trova l'account viene usata per l'autenticazione dell'utente.Each user has only one enabled account, and the forest where this account is located is used to authenticate the user. Questo presupposto riguarda sia la sincronizzazione delle password che la federazione.This assumption is for both password sync and federation. userPrincipalName e sourceAnchor o immutableID provengono da questa foresta.UserPrincipalName and sourceAnchor/immutableID come from this forest.
  • Ogni utente ha solo una cassetta postale.Each user has only one mailbox.
  • La foresta che ospita la cassetta postale di un utente garantisce la migliore qualità dei dati per gli attributi visibili nell'Elenco indirizzi globale di Exchange.The forest that hosts the mailbox for a user has the best data quality for attributes visible in the Exchange Global Address List (GAL). Se non è presente una cassetta postale per l'utente, è possibile usare qualsiasi foresta per recuperare questi valori di attributi.If there's no mailbox for the user, any forest can be used to contribute these attribute values.
  • Se è disponibile una cassetta postale collegata, è presente anche un account in una foresta diversa usato per l'accesso.If you have a linked mailbox, there's also an account in a different forest used for sign-in.

Se l'ambiente non soddisfa questi presupposti, si verifica quanto segue:If your environment does not match these assumptions, the following things happen:

  • Se sono presenti più account attivi o più cassette postali, il motore di sincronizzazione ne seleziona uno e ignora gli altri.If you have more than one active account or more than one mailbox, the sync engine picks one and ignores the other.
  • Una cassetta postale collegata priva di account attivi non viene esportata in Azure AD.A linked mailbox with no other active account is not exported to Azure AD. L'account utente non è rappresentato come membro in alcun gruppo.The user account is not represented as a member in any group. Una cassetta postale collegata in DirSync viene sempre rappresentata come cassetta postale normale.A linked mailbox in DirSync is always represented as a normal mailbox. Questa modifica introduce un comportamento diverso per migliorare il supporto degli scenari a più foreste.This change is intentionally a different behavior to better support multiple-forest scenarios.

Per altre informazioni, vedere Informazioni sulla configurazione predefinita.You can find more details in Understanding the default configuration.

Più foreste, più server di sincronizzazione a un tenant di Microsoft AzureMultiple forests, multiple sync servers to one Azure AD tenant

Topologia non supportata per più foreste e più server di sincronizzazione

Non è consentito connettere più server di sincronizzazione di Azure AD Connect a un tenant singolo di Azure AD.Having more than one Azure AD Connect sync server connected to a single Azure AD tenant is not supported. Fa eccezione l'uso di un server di gestione temporanea.The exception is the use of a staging server.

Più foreste, topologie separateMultiple forests, separate topologies

Opzione per rappresentare gli utenti solo una volta in tutte le directory

Immagine di più foreste e topologie separate

In questo ambiente tutte le foreste locali vengono considerate entità separate.In this environment, all on-premises forests are treated as separate entities. Nessun utente è presente in nessuna altra foresta.No user is present in any other forest. Ogni foresta presenta un'organizzazione Exchange dedicata e non viene effettuata alcuna sincronizzazione dell'elenco di indirizzi globale (GALSync) tra le foreste.Each forest has its own Exchange organization, and there's no GALSync between the forests. Questa topologia può presentarsi dopo una fusione o acquisizione o in un'organizzazione in cui ogni business unit opera in modo indipendente.This topology might be the situation after a merger/acquisition or in an organization where each business unit operates independently. In Azure AD queste foreste si trovano nella stessa organizzazione e vengono visualizzate con un elenco di indirizzi globale unificato.These forests are in the same organization in Azure AD and appear with a unified GAL. Nell'immagine precedente ogni oggetto di ogni foresta viene rappresentato una sola volta nel metaverse e aggregato nel tenant di Azure AD di destinazione.In the preceding picture, each object in every forest is represented once in the metaverse and aggregated in the target Azure AD tenant.

Più foreste: corrispondenze con utentiMultiple forests: match users

Tutti gli scenari hanno in comune il fatto che i gruppi di distribuzione e di sicurezza possono contenere una combinazione di utenti, contatti ed entità di sicurezza esterne.Common to all these scenarios is that distribution and security groups can contain a mix of users, contacts, and Foreign Security Principals (FSPs). Le entità di sicurezza esterne vengono usate in Active Directory Domain Services (AD DS) per rappresentare i membri di altre foreste in un gruppo di sicurezza.FSPs are used in Active Directory Domain Services (AD DS) to represent members from other forests in a security group. Tutte le entità di sicurezza esterne vengono risolte nell'oggetto reale in Azure AD.All FSPs are resolved to the real object in Azure AD.

Più foreste: a maglia completa con GALSync facoltativoMultiple forests: full mesh with optional GALSync

Opzione per usare l'attributo Mail per trovare la corrispondenza quando le identità utenti sono presenti in più directory

Topologia a maglia completa per più foreste

Una topologia a maglia completa consente di individuare utenti e risorse in qualsiasi foresta.A full mesh topology allows users and resources to be located in any forest. In genere esistono trust bidirezionali tra le foreste.Commonly, there are two-way trusts between the forests.

Se Exchange è presente in più di una foresta, potrebbe essere disponibile (facoltativamente) una soluzione GALSync locale.If Exchange is present in more than one forest, there might be (optionally) an on-premises GALSync solution. Ogni utente viene quindi rappresentato come un contatto in tutte le altre foreste.Every user is then represented as a contact in all other forests. GALSync viene in genere implementato tramite FIM 2010 o MIM 2016.GALSync is commonly implemented through FIM 2010 or MIM 2016. Azure AD Connect non può essere usato per la soluzione GALSync locale.Azure AD Connect cannot be used for on-premises GALSync.

In questo scenario, gli oggetti relativi all'identità vengono aggiunti tramite l'attributo Mail.In this scenario, identity objects are joined via the mail attribute. Un utente che ha una cassetta postale in una foresta viene aggiunto ai contatti nelle altre foreste.A user who has a mailbox in one forest is joined with the contacts in the other forests.

Più foreste, foresta di tipo account-risorseMultiple forests: account-resource forest

Opzione per usare gli attributi ObjectSID e msExchMasterAccountSID per trovare la corrispondenza quando le identità sono presenti in più directory

Topologia di foresta di tipo account-risorse per più foreste

In una topologia di foresta account-risorse sono presenti una o più foreste account con account utente attivi.In an account-resource forest topology, you have one or more account forests with active user accounts. Sono anche presenti una o più foreste risorse con account disabilitati.You also have one or more resource forests with disabled accounts.

In questo scenario una o più foreste risorse considerano attendibili tutte le foreste account.In this scenario, one (or more) resource forest trusts all account forests. La foresta risorse presenta in genere uno schema di Active Directory esteso con Exchange e Lync.The resource forest typically has an extended Active Directory schema with Exchange and Lync. Tutti i servizi Exchange e Lync, con altri servizi condivisi, si trovano in questa foresta.All Exchange and Lync services, along with other shared services, are located in this forest. Gli utenti hanno un account utente disabilitato in questa foresta e la cassetta postale è collegata alla foresta account.Users have a disabled user account in this forest, and the mailbox is linked to the account forest.

Considerazioni su Office 365 e sulle topologieOffice 365 and topology considerations

Alcuni carichi di lavoro di Office 365 prevedono determinate restrizioni per le topologie supportate:Some Office 365 workloads have certain restrictions on supported topologies:

Carico di lavoroWorkload RestrizioniRestrictions
Exchange OnlineExchange Online Per altre informazioni sulle topologie ibride supportate da Exchange Online, vedere Distribuzioni ibride con più insiemi di strutture di Active Directory.For more information about hybrid topologies supported by Exchange Online, see Hybrid deployments with multiple Active Directory forests.
Skype for Business OnlineSkype for Business Quando si usano più foreste locali, sarà supportata solo la topologia di tipo foresta account-risorse.When you're using multiple on-premises forests, only the account-resource forest topology is supported. Per altre informazioni, vedere Requisiti ambientali di Skype for Business Server 2015.For more information, see Environmental requirements for Skype for Business Server 2015.

server di gestione temporaneaStaging server

Server di staging in una topologia

Azure AD Connect supporta l'installazione di un secondo server in modalità di staging.Azure AD Connect supports installing a second server in staging mode. Un server in questa modalità legge dati da tutte le directory connesse, ma non vi esegue operazioni di scrittura.A server in this mode reads data from all connected directories but does not write anything to connected directories. Usa il normale ciclo di sincronizzazione e ha quindi a disposizione una copia aggiornata dei dati di identità.It uses the normal synchronization cycle and therefore has an updated copy of the identity data.

In una situazione di emergenza in cui si verifica un errore nel server primario è possibile eseguire il failover nel server di staging.In a disaster where the primary server fails, you can fail over to the staging server. A tale scopo è possibile usare la procedura guidata di Azure AD Connect.You do this in the Azure AD Connect wizard. Il secondo server può trovarsi in un data center diverso perché nessuna infrastruttura viene condivisa con il server primario.This second server can be located in a different datacenter because no infrastructure is shared with the primary server. Eventuali modifiche di configurazione apportate al server primario devono essere copiate manualmente nel secondo server.You must manually copy any configuration change made on the primary server to the second server.

È possibile usare un server di staging per testare una nuova configurazione personalizzata e il relativo effetto sui dati.You can use a staging server to test a new custom configuration and the effect that it has on your data. È possibile visualizzare l'anteprima delle modifiche e perfezionare la configurazione.You can preview the changes and adjust the configuration. Dopo aver ottenuto la configurazione ottimale, sarà possibile rendere attivo il server di staging e impostare il server attivo precedente sulla modalità di staging.When you're happy with the new configuration, you can make the staging server the active server and set the old active server to staging mode.

È anche possibile usare questo metodo per sostituire il server di sincronizzazione attivo.You can also use this method to replace the active sync server. Preparare il nuovo server e impostarlo in modalità di staging.Prepare the new server and set it to staging mode. Verificarne lo stato di integrità, disabilitare la modalità di staging rendendolo attivo e arrestare il server attivo corrente.Make sure it's in a good state, disable staging mode (making it active), and shut down the currently active server.

Per avere a disposizione più backup in data center diversi, è possibile avere più di un server di staging.It's possible to have more than one staging server when you want to have multiple backups in different datacenters.

Più tenant di Azure ADMultiple Azure AD tenants

È consigliabile che in Azure AD sia presente un tenant singolo per un'organizzazione.We recommend having a single tenant in Azure AD for an organization. Prima di pianificare di usare più tenant di Azure AD, vedere l'articolo Gestione delle unità amministrative in Azure ADBefore you plan to use multiple Azure AD tenants, see the article Administrative units management in Azure AD. che illustra gli scenari comuni in cui è possibile usare un singolo tenant.It covers common scenarios where you can use a single tenant.

Topologia per più foreste e più tenant

Esiste una relazione 1:1 tra un server di sincronizzazione di Azure AD Connect e un tenant di Azure AD.There's a 1:1 relationship between an Azure AD Connect sync server and an Azure AD tenant. Per ogni tenant di Azure AD è necessaria un'installazione del server del servizio di sincronizzazione Azure AD Connect.For each Azure AD tenant, you need one Azure AD Connect sync server installation. Le istanze del tenant di Azure AD sono isolate per impostazione predefinita.The Azure AD tenant instances are isolated by design. Gli utenti di un tenant infatti non possono visualizzare gli utenti dell'altro tenant.That is, users in one tenant can't see users in the other tenant. Se la separazione è necessaria, questa è una configurazione supportata.If you want this separation, this is a supported configuration. In caso contrario, è consigliabile usare il modello di tenant di Azure AD singolo.Otherwise, you should use the single Azure AD tenant model.

Ogni oggetto una sola volta in un tenant di Azure ADEach object only once in an Azure AD tenant

Topologia con filtri per una foresta singola

In questa topologia un server del servizio di sincronizzazione Azure AD Connect è connesso a ogni tenant di Azure AD.In this topology, one Azure AD Connect sync server is connected to each Azure AD tenant. I server di sincronizzazione di Azure AD Connect devono essere configurati per l'applicazione di filtri, in modo che ogni server possa usare un set di oggetti che si escludono a vicenda.The Azure AD Connect sync servers must be configured for filtering so that each has a mutually exclusive set of objects to operate on. Ad esempio, è possibile definire l'ambito di ogni server in modo che corrisponda a un dominio oppure a un'unità organizzativa specifica.You can, for example, scope each server to a particular domain or organizational unit.

Un dominio DNS può essere registrato unicamente in un tenant singolo di Azure AD.A DNS domain can be registered in only a single Azure AD tenant. Anche gli UPN degli utenti nell'istanza locale di Active Directory devono usare spazi dei nomi separati.The UPNs of the users in the on-premises Active Directory instance must also use separate namespaces. Ad esempio, nella figura precedente tre suffissi UPN separati vengono registrati nell'istanza locale di Active Directory: contoso.com, fabrikam.com e wingtiptoys.com. Gli utenti di ogni dominio di Active Directory locale usano uno spazio dei nomi diverso.For example, in the preceding picture, three separate UPN suffixes are registered in the on-premises Active Directory instance: contoso.com, fabrikam.com, and wingtiptoys.com. The users in each on-premises Active Directory domain use a different namespace.

Non è presente alcun GALSync tra le istanze del tenant di Azure AD.There is no GALSync between the Azure AD tenant instances. La rubrica di Exchange Online e Skype for Business mostra solo gli utenti nello stesso tenant.The address book in Exchange Online and Skype for Business shows only users in the same tenant.

Questa topologia presenta le restrizioni seguenti per scenari altrimenti supportati:This topology has the following restrictions on otherwise supported scenarios:

  • Solo uno dei tenant di Azure AD può abilitare una distribuzione ibrida di Exchange con l'istanza di Active Directory locale.Only one of the Azure AD tenants can enable an Exchange hybrid with the on-premises Active Directory instance.
  • I dispositivi Windows 10 possono essere associati a un solo tenant di Azure AD.Windows 10 devices can be associated with only one Azure AD tenant.
  • L'opzione Single Sign-On (SSO) per la sincronizzazione password e l'autenticazione pass-through può essere usata solo con un tenant di Azure AD.The single sign-on (SSO) option for password synchronization and pass-through authentication can be used with only one Azure AD tenant.

Il requisito relativo a un set di oggetti che si escludono a vicenda si applica anche al writeback.The requirement for a mutually exclusive set of objects also applies to writeback. Alcune funzionalità di writeback non sono supportate con questa topologia, perché presuppongono una singola configurazione locale.Some writeback features are not supported with this topology because they assume a single on-premises configuration. Queste funzionalità includono:These features include:

  • Writeback dei gruppi con la configurazione predefinita.Group writeback with default configuration.
  • Writeback dispositivi.Device writeback.

Ogni oggetto più volte in un tenant di Azure ADEach object multiple times in an Azure AD tenant

Topologia non supportata per una foresta singola e più tenant Topologia non supportata per una foresta singola e più connettori

Queste attività non sono supportate:These tasks are unsupported:

  • Sincronizzazione dello stesso utente con più tenant di Azure AD.Sync the same user to multiple Azure AD tenants.
  • Modifica della configurazione per fare in modo che gli utenti di un tenant di Azure AD vengano visualizzati come contatti in un altro tenant di Azure AD.Make a configuration change so that users in one Azure AD tenant appear as contacts in another Azure AD tenant.
  • Modifica del servizio di sincronizzazione Azure AD Connect per la connessione a più tenant di Azure AD.Modify Azure AD Connect sync to connect to multiple Azure AD tenants.

GALSync tramite l'uso di writebackGALSync by using writeback

Topologia non supportata per più foreste e più directory, con GALSync incentrato su Azure AD Topologia non supportata per più foreste e più directory, con GALSync incentrato su Active Directory locale

I tenant di Azure AD sono isolati per impostazione predefinita.Azure AD tenants are isolated by design. Queste attività non sono supportate:These tasks are unsupported:

  • Modifica della configurazione del servizio di sincronizzazione Azure AD Connect per la lettura di dati da un altro tenant di Azure AD.Change the configuration of Azure AD Connect sync to read data from another Azure AD tenant.
  • Esportazione di utenti come contatti in un'altra istanza locale di Active Directory con il servizio di sincronizzazione Azure AD Connect.Export users as contacts to another on-premises Active Directory instance by using Azure AD Connect sync.

GALSync con server di sincronizzazione localeGALSync with on-premises sync server

GALSync in una topologia per più foreste e più directory

È possibile usare FIM 2010 o MIM 2016 locale per sincronizzare gli utenti (tramite GALSync) tra due organizzazioni di Exchange.You can use FIM 2010 or MIM 2016 on-premises to sync users (via GALSync) between two Exchange organizations. Gli utenti di un'organizzazione vengono visualizzati come utenti/contatti esterni nell'altra organizzazione.The users in one organization appear as foreign users/contacts in the other organization. Sarà quindi possibile sincronizzare le due istanze locali diverse di Active Directory con i rispettivi tenant di Azure AD.These different on-premises Active Directory instances can then be synchronized with their own Azure AD tenants.

Passaggi successiviNext steps

Per informazioni su come installare Azure AD Connect per questi scenari, vedere Installazione personalizzata di Azure Ad Connect.To learn how to install Azure AD Connect for these scenarios, see Custom installation of Azure AD Connect.

Ulteriori informazioni sulla configurazione della sincronizzazione di Azure AD Connect .Learn more about the Azure AD Connect sync configuration.

Altre informazioni sull'integrazione delle identità locali con Azure Active Directory.Learn more about integrating your on-premises identities with Azure Active Directory.