Prerequisiti per la sincronizzazione cloud di Microsoft Entra
Questo articolo fornisce indicazioni sull'uso di Microsoft Entra Cloud Sync come soluzione di gestione delle identità.
Requisiti dell'agente di provisioning cloud
Per usare Microsoft Entra Cloud Sync, è necessario quanto segue:
- Credenziali di domain Amministrazione istrator o Enterprise Amministrazione istrator per creare l'account del servizio gestito del cloud di Microsoft Entra Connessione cloud per eseguire il servizio agente.
- Un account amministratore di identità ibrido per il tenant di Microsoft Entra che non è un utente guest.
- Un server locale per l'agente di provisioning con Windows 2016 o versione successiva. Questo server deve essere un server di livello 0 basato sul modello di livello amministrativo di Active Directory. L'installazione dell'agente in un controller di dominio è supportata.
- Obbligatorio per l'attributo schema di ACTIVE Directory - msDS-ExternalDirectoryObjectId
- La disponibilità elevata si riferisce alla capacità di Microsoft Entra Cloud Sync di operare in modo continuo senza errori per molto tempo. Se sono installati ed eseguiti più agenti attivi, Microsoft Entra Cloud Sync può continuare a funzionare anche se un agente non riesce. Microsoft consiglia di installare 3 agenti attivi per la disponibilità elevata.
- Configurazione del firewall locale.
Account del servizio gestito di gruppo
Un account del servizio gestito di gruppo è un account di dominio gestito che fornisce la gestione automatica delle password, la gestione semplificata del nome dell'entità servizio (SPN), la possibilità di delegare la gestione ad altri amministratori ed estende anche questa funzionalità su più server. Microsoft Entra Cloud Sync supporta e usa un account del servizio gestito del gruppo per l'esecuzione dell'agente. Durante l'installazione verranno richieste credenziali amministrative per creare l'account. L'account viene visualizzato come domain\provAgentgMSA$. Per altre informazioni su un account del servizio gestito del gruppo, vedere Group Managed Service Accounts.For more information on a gMSA, see group Managed Service Accounts.
Prerequisiti per l'account del servizio gestito del gruppo
- Lo schema di Active Directory nella foresta del dominio del servizio gestito del gruppo deve essere aggiornato a Windows Server 2012 o versione successiva.
- Moduli di Strumenti di amministrazione remota del server powerShell in un controller di dominio.
- Almeno un controller di dominio nel dominio deve eseguire Windows Server 2012 o versione successiva.
- Un server aggiunto a un dominio in cui è installato l'agente deve essere Windows Server 2016 o versione successiva.
Account del servizio gestito del gruppo personalizzato
Se si sta creando un account del servizio gestito del gruppo personalizzato, è necessario assicurarsi che l'account disponga delle autorizzazioni seguenti.
| Type | Nome | Accesso | Si applica a |
|---|---|---|---|
| Consenti | Account del servizio gestito del gruppo | Leggi tutte le proprietà | Oggetti dispositivo discendenti |
| Consenti | Account del servizio gestito del gruppo | Leggi tutte le proprietà | Oggetti InetOrgPerson discendenti |
| Consenti | Account del servizio gestito del gruppo | Leggi tutte le proprietà | Oggetti Computer discendenti |
| Consenti | Account del servizio gestito del gruppo | Leggi tutte le proprietà | Oggetti foreignSecurityPrincipal discendenti |
| Consenti | Account del servizio gestito del gruppo | Controllo completo | Oggetti Group discendenti |
| Consenti | Account del servizio gestito del gruppo | Leggi tutte le proprietà | Oggetti User discendenti |
| Consenti | Account del servizio gestito del gruppo | Leggi tutte le proprietà | Oggetti Contact discendenti |
| Consenti | Account del servizio gestito del gruppo | Crea/elimina oggetti Utenti | Questo oggetto e tutti gli oggetti discendenti |
Per informazioni su come aggiornare un agente esistente per l'uso di un account del servizio gestito del gruppo, vedere Raggruppare gli account del servizio gestito.
Per altre informazioni su come preparare Active Directory per l'account del servizio gestito del gruppo, vedere Panoramica degli account del servizio gestito del gruppo.
Nell'interfaccia di amministrazione di Microsoft Entra
- Creare un account amministratore delle identità ibride solo cloud nel tenant di Microsoft Entra. In questo modo è possibile gestire la configurazione del tenant in caso di errore o mancata disponibilità dei servizi locali. Informazioni su come aggiungere un account amministratore delle identità ibride solo cloud. Il completamento di questo passaggio è fondamentale ed evita di rimanere bloccati fuori dal tenant.
- Aggiungere uno o più nomi di dominio personalizzati al tenant di Microsoft Entra. Gli utenti possono accedere usando uno di questi nomi di dominio.
Nella directory personale di Active Directory
Eseguire lo strumento IdFix per preparare gli attributi di directory per la sincronizzazione.
Nell'ambiente locale
- Identificare un server host aggiunto a un dominio che esegue Windows Server 2016 o versione successiva con almeno 4 GB di RAM e runtime .NET 4.7.1+.
- I criteri di esecuzione di PowerShell nel server locale devono essere impostati su Undefined o RemoteSigned.
- Se è presente un firewall tra i server e Microsoft Entra ID, vedere Requisiti del firewall e del proxy.
Nota
L'installazione dell'agente di provisioning cloud in Windows Server Core non è supportata.
Effettuare il provisioning dell'ID Microsoft Entra in Active Directory - Prerequisiti
Per implementare i gruppi di provisioning in Active Directory, sono necessari i prerequisiti seguenti.
Requisiti di licenza
L'uso di questa funzionalità richiede licenze microsoft Entra ID P1. Per trovare la licenza corretta per le proprie esigenze, vedere il confronto delle funzionalità di Microsoft Entra ID disponibili a livello generale.
Requisiti generali
- Account Microsoft Entra con almeno un ruolo ibrido Amministrazione istrator.
- Ambiente Dominio di Active Directory Services locale con sistema operativo Windows Server 2016 o versione successiva.
- Obbligatorio per l'attributo schema di ACTIVE Directory - msDS-ExternalDirectoryObjectId
- Agente di provisioning con build 1.1.1370.0 o successiva.
Nota
Le autorizzazioni per l'account del servizio vengono assegnate solo durante l'installazione pulita. Se si esegue l'aggiornamento dalla versione precedente, è necessario assegnare manualmente le autorizzazioni usando il cmdlet di PowerShell:
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential
Se le autorizzazioni vengono impostate manualmente, è necessario assicurarsi che lettura, scrittura, creazione ed eliminazione di tutte le proprietà per tutti i gruppi discendenti e gli oggetti utente.
Queste autorizzazioni non vengono applicate agli oggetti Amministrazione SDHolder per impostazione predefinita cmdlet di PowerShell per l'agente di provisioning di Microsoft EntraA
- L'agente di provisioning deve essere in grado di comunicare con uno o più controller di dominio sulle porte TCP/389 (LDAP) e TCP/3268 (Catalogo globale).
- Obbligatorio per la ricerca del catalogo globale per escludere riferimenti di appartenenza non validi
- Microsoft Entra Connessione con build 2.2.8.0 o successiva
- Obbligatorio per supportare l'appartenenza utente locale sincronizzata con Microsoft Entra Connessione
- Obbligatorio per sincronizzare AD:user:objectGUID con AAD:user:onPremisesObjectIdentifier
Gruppi supportati
Sono supportati solo gli elementi seguenti:
- Sono supportati solo i gruppi di sicurezza creati dal cloud
- Questi gruppi possono avere un'appartenenza dinamica o assegnata.
- Questi gruppi possono contenere solo utenti sincronizzati locali e/o altri gruppi di sicurezza creati dal cloud.
- Gli account utente locali sincronizzati e membri di questo gruppo di sicurezza creato dal cloud possono appartenere allo stesso dominio o tra domini, ma tutti devono appartenere alla stessa foresta.
- Questi gruppi vengono riscritto con l'ambito dei gruppi di Active Directory universale. L'ambiente locale deve supportare l'ambito del gruppo universale.
- I gruppi con dimensioni superiori a 50.000 membri non sono supportati.
- Ogni gruppo annidato figlio diretto viene conteggiato come un membro nel gruppo di riferimento
- La riconciliazione dei gruppi tra Microsoft Entra ID e Active Directory non è supportata se il gruppo viene aggiornato manualmente in Active Directory.
Informazioni aggiuntive
Di seguito sono riportate informazioni aggiuntive sui gruppi di provisioning in Active Directory.
- I gruppi di cui è stato effettuato il provisioning in ACTIVE Directory tramite la sincronizzazione cloud possono contenere solo utenti sincronizzati locali e/o altri gruppi di sicurezza creati dal cloud.
- Tutti questi utenti devono avere l'attributo onPremisesObjectIdentifier impostato sul proprio account.
- OnPremisesObjectIdentifier deve corrispondere a un objectGUID corrispondente nell'ambiente AD di destinazione.
- Un attributo objectGUID degli utenti locali per un utente cloud suPremisesObjectIdentifier può essere sincronizzato usando Microsoft Entra Cloud Sync (1.1.1370.0) o Microsoft Entra Connessione Sync (2.2.8.0)
- Se usi Microsoft Entra Connessione Sync (2.2.8.0) per sincronizzare gli utenti, invece di Microsoft Entra Cloud Sync e vuoi usare Provisioning in AD, deve essere 2.2.8.0 o versione successiva.
- Per il provisioning da Microsoft Entra ID ad Active Directory sono supportati solo i normali tenant di Microsoft Entra ID. I tenant, ad esempio B2C, non sono supportati.
- Il processo di provisioning del gruppo è pianificato per l'esecuzione ogni 20 minuti.
Altri requisiti
Requisiti TLS
Nota
Transport Layer Security (TLS) è un protocollo che garantisce comunicazioni sicure. Eventuali modifiche alle impostazioni TLS influiscono sull'intera foresta. Per altre informazioni, vedere Aggiornare per abilitare TLS 1.1 e TLS 1.2 come protocolli di protezione predefiniti in WinHTTP in Windows.
Il server Windows che ospita Microsoft Entra Connessione agente di provisioning cloud deve avere TLS 1.2 abilitato prima di installarlo.
Per abilitare il protocollo TLS 1.2, seguire questa procedura.
Impostare le chiavi del Registro di sistema seguenti copiando il contenuto in un file .reg e quindi eseguendo il file (fare clic con il pulsante destro del mouse e scegliere Unisci):
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001Riavviare il server.
Requisiti del firewall e del proxy
Se è presente un firewall tra i server e Microsoft Entra ID, configurare gli elementi seguenti:
Assicurarsi che gli agenti possano effettuare richieste in uscita all'ID Microsoft Entra sulle porte seguenti:
Numero di porta Descrizione 80 Scarica gli elenchi di revoche di certificati (CRL) durante la convalida del certificato TLS/SSL. 443 Gestisce tutte le comunicazioni in uscita con il servizio. 8080 (facoltativo) Se la porta 443 non è disponibile, gli agenti di autenticazione segnalano il proprio stato ogni dieci minuti attraverso la porta 8080. Questo stato viene visualizzato nell'interfaccia di amministrazione di Microsoft Entra. Se il firewall applica regole in base agli utenti di origine, aprire queste porte per il traffico proveniente da servizi di Windows in esecuzione come servizi di rete.
Se il firewall o il proxy consente di specificare suffissi sicuri, aggiungere connessioni:
| URL | Descrizione |
|---|---|
*.msappproxy.net*.servicebus.windows.net |
L'agente usa questi URL per comunicare con il servizio cloud Microsoft Entra. |
*.microsoftonline.com*.microsoft.com*.msappproxy.com*.windowsazure.com |
L'agente usa questi URL per comunicare con il servizio cloud Microsoft Entra. |
mscrl.microsoft.com:80 crl.microsoft.com:80 ocsp.msocsp.com:80 www.microsoft.com:80 |
L'agente usa questi URL per verificare i certificati. |
login.windows.net |
L'agente usa questi URL durante il processo di registrazione. |
Requisito NTLM
Non è consigliabile abilitare NTLM in Windows Server che esegue l'agente di provisioning di Microsoft Entra e, se è abilitato, assicurarsi di disabilitarlo.
Limitazioni note
Di seguito sono riportate le limitazioni note:
Sincronizzazione delta
- Il filtro dell'ambito del gruppo per la sincronizzazione differenziale non supporta più di 50.000 membri.
- Quando si elimina un gruppo usato come parte di un filtro di ambito del gruppo, gli utenti membri del gruppo non vengono eliminati.
- Quando si rinomina l'unità organizzativa o il gruppo incluso nell'ambito, la sincronizzazione differenziale non rimuoverà gli utenti.
Log di provisioning
- I log di provisioning non distinguono chiaramente le operazioni di creazione e aggiornamento. È possibile che venga visualizzata un'operazione di creazione per un aggiornamento e un'operazione di aggiornamento per una creazione.
Ridenominazione dei gruppi o ridenominazione dell'unità organizzativa
- Se si rinomina un gruppo o un'unità organizzativa in Active Directory nell'ambito di una determinata configurazione, il processo di sincronizzazione cloud non sarà in grado di riconoscere la modifica del nome in ACTIVE Directory. Il processo non entra in quarantena e rimane integro.
Filtro per la definizione dell'ambito
Quando si usa il filtro di ambito dell'unità organizzativa
- È possibile sincronizzare fino a 59 unità organizzative separate o gruppi di sicurezza per una determinata configurazione.
- Sono supportate unità organizzative annidate, ovvero è possibile sincronizzare un'unità organizzativa con 130 unità organizzative nidificate, ma non è possibilesincronizzare 60 unità organizzative separate nella stessa configurazione.
Sincronizzazione dell'hash delle password
- L'uso della sincronizzazione dell'hash delle password con InetOrgPerson non è supportato.