Prerequisiti di Azure AD Connect

Questo articolo descrive i prerequisiti e i requisiti hardware per Azure Active Directory (Azure AD) Connect.

Prima di installare Azure AD Connect

Prima di installare Azure AD Connect, sono necessari alcuni elementi.

Azure AD

  • È necessario un tenant Azure AD database. Uno è disponibile con una versione di valutazione gratuita di Azure. È possibile usare uno dei portali seguenti per gestire Azure AD Connect:
  • Aggiungere e verificare il dominio che si prevede di usare in Azure AD. Ad esempio, se si prevede di usare contoso.com per gli utenti, assicurarsi che questo dominio sia stato verificato e che non si usi solo il contoso.onmicrosoft.com dominio predefinito.
  • Un Azure AD tenant consente, per impostazione predefinita, 50.000 oggetti. Quando si verifica il dominio, il limite aumenta a 300.000 oggetti. Se sono necessari ancora più oggetti in Azure AD, aprire un caso di supporto per aumentare ulteriormente il limite. Se sono necessari più di 500.000 oggetti, è necessaria una licenza, ad esempio Microsoft 365, Azure AD Premium o Enterprise Mobility + Security.

Preparare i dati locali

Active Directory locale

  • La versione dello schema di Active Directory e il livello di funzionalità della foresta devono essere Windows Server 2003 o versioni successive. I controller di dominio possono eseguire qualsiasi versione purché siano soddisfatti la versione dello schema e i requisiti a livello di foresta.
  • Se si prevede di usare il writeback delle password delle funzionalità, i controller di dominio devono essere in Windows Server 2012 o versioni successive.
  • Il controller di dominio usato da Azure AD deve essere scrivibile. L'uso di un controller di dominio di sola lettura non è supportato e Azure AD Connect non segue alcun reindirizzamento di scrittura.
  • Uso di foreste o domini locali usando "dotted" (il nome contiene un punto ".") I nomi NetBIOS non sono supportati.
  • È consigliabile abilitare il Cestino di Active Directory.

Criteri di esecuzione di PowerShell

Azure Active Directory Connect script di PowerShell firmati come parte dell'installazione. Assicurarsi che i criteri di esecuzione di PowerShell consentano l'esecuzione di script.

I criteri di esecuzione consigliati durante l'installazione sono "RemoteSigned".

Per altre informazioni sull'impostazione dei criteri di esecuzione di PowerShell, vedere Set-ExecutionPolicy.

Server di Azure AD Connect

Il Azure AD Connect server contiene dati di identità critici. È importante che l'accesso amministrativo a questo server sia protetto correttamente. Seguire le linee guida in Protezione dell'accesso con privilegi.

Il Azure AD Connect server deve essere considerato un componente di livello 0 come documentato nel modello di livello amministrativo di Active Directory

Per altre informazioni sulla protezione dell'ambiente Active Directory, vedere Procedure consigliate per la protezione di Active Directory.

Prerequisiti di installazione

  • Azure AD Connect deve essere installato in un'istanza di Windows Server 2012 o successiva appartenente a un dominio.
  • Azure AD Connect non può essere installato in Small Business Server o Windows Server Essentials prima del 2019 (è supportato Windows Server Essentials 2019). Il server deve utilizzare Windows Server Standard o versione successiva.
  • Il server Azure AD Connect deve avere un'interfaccia utente grafica completa installata. L'Azure AD Connect in Windows Server Core non è supportata.
  • Nel server Azure AD Connect non deve essere abilitata la trascrizione di PowerShell Criteri di gruppo se si usa la procedura guidata Azure AD Connect per gestire la configurazione Active Directory Federation Services (AD FS). È possibile abilitare la trascrizione di PowerShell se si usa la Azure AD Connect guidata per gestire la configurazione della sincronizzazione.
  • Se AD FS è in corso la distribuzione:
    • I server in AD FS o web Application Proxy devono essere Windows Server 2012 R2 o versione successiva. Gestione remota Windows .
    • È necessario configurare i certificati TLS/SSL. Per altre informazioni, vedere Managing SSL/TLS protocols and cipher suites for AD FS and Managing SSL certificates in AD FS.
    • È necessario configurare la risoluzione dei nomi.
  • Se per gli amministratori globali è abilitata l'autenticazione a più fattori, l'URL https://secure.aadcdn.microsoftonline-p.com deve essere presente nell'elenco dei siti attendibili. Viene richiesto di aggiungere questo sito all'elenco dei siti attendibili quando viene richiesta una richiesta di autenticazione a più fattori e non è stato aggiunto in precedenza. È possibile usare Internet Explorer per aggiungerlo ai siti attendibili.
  • Se si prevede di usare Azure AD Connect Health per la sincronizzazione, assicurarsi che siano soddisfatti anche i prerequisiti per Azure AD Connect Health sicurezza. Per altre informazioni, vedere l'Azure AD Connect Health dell'agente.

Protezione avanzata del server Azure AD Connect

È consigliabile aumentare la protezione avanzata Azure AD Connect server per ridurre la superficie di attacco alla sicurezza per questo componente critico dell'ambiente IT. Seguire queste raccomandazioni consente di attenuare alcuni rischi per la sicurezza per l'organizzazione.

  • Considerare Azure AD Connect come un controller di dominio e altre risorse di livello 0. Per altre informazioni, vedere Modello di livello amministrativo di Active Directory.
  • Limitare l'accesso amministrativo al server Azure AD Connect solo agli amministratori di dominio o ad altri gruppi di sicurezza strettamente controllati.
  • Creare un account dedicato per tutto il personale con accesso con privilegi. Gli amministratori non devono esplorare il Web, controllare la posta elettronica ed eseguire attività quotidiane di produttività con account con privilegi elevati.
  • Seguire le indicazioni fornite in Protezione dell'accesso con privilegi.
  • Negare l'uso dell'autenticazione NTLM con il server AADConnect. Ecco alcuni modi per eseguire questa operazione: Limitazione di NTLM nel server AADConnect e Limitazione di NTLM in un dominio
  • Assicurarsi che ogni computer abbia una password amministratore locale univoca. Per altre informazioni, vedere Soluzione password dell'amministratore locale (LAPS) può configurare password casuali univoche in ogni workstation e server che le archiviano in Active Directory protetto da un ACL. Solo gli utenti autorizzati idonei possono leggere o richiedere la reimpostazione di queste password di account amministratore locale. È possibile ottenere i LAPS per l'uso su workstation e server dall'Area download Microsoft. Altre indicazioni per il funzionamento di un ambiente con LAPS e workstation di accesso con privilegi (PAW) sono disponibili in Standard operativi basati sul principio di origine pulita.
  • Implementare workstation di accesso con privilegi dedicati per tutto il personale con accesso con privilegi ai sistemi informatici dell'organizzazione.
  • Seguire queste linee guida aggiuntive per ridurre la superficie di attacco dell'ambiente Active Directory.

SQL Server usato da Azure AD Connect

  • Per archiviare i dati sull'identità, Azure AD Connect richiede un database SQL. Per impostazione predefinita, viene SQL Server Express LocalDB 2012 (versione light di SQL Server Express). SQL Server Express ha un limite di 10 GB che consente di gestire circa 100.000 oggetti. Se è necessario gestire un volume superiore di oggetti directory, puntare l'installazione guidata a un'installazione diversa di SQL Server. Il tipo di installazione SQL Server può influire sulle prestazioni di Azure AD Connect.
  • Se si usa un'installazione diversa di SQL Server, si applicano i requisiti seguenti:
    • Azure AD Connect supporta tutte le versioni di SQL Server dalla versione 2012 (con il Service Pack più recente) a SQL Server 2019. database SQL di Azure non è supportato come database.
    • È necessario usare regole di confronto SQL senza distinzione tra maiuscole e minuscole. Queste regole di confronto sono identificate da _CI_ all'interno del nome. L'uso di regole di confronto con distinzione tra maiuscole e _ minuscole identificate CS_ nome non è supportato.
    • È possibile avere un solo motore di sincronizzazione per ogni istanza di SQL. La condivisione di un'istanza di SQL con FIM/MIM Sync, DirSync o Azure AD Sync non è supportata.

Account

  • È necessario avere un account Azure AD amministratore globale per il tenant Azure AD con cui si vuole eseguire l'integrazione. Questo account deve essere un account dell'istituto di istruzione o dell'organizzazione e non può essere un account Microsoft .
  • Se si usano impostazioni rapide o si esegue l'aggiornamento da DirSync, è necessario avere un account amministratore aziendale per l'Active Directory locale.
  • Se si usa il percorso di installazione delle impostazioni personalizzate, sono disponibili altre opzioni. Per altre informazioni, vedere Impostazioni di installazione personalizzate.

Connettività

  • Il server Azure AD Connect necessita della risoluzione DNS per Intranet e Internet. Il server DNS deve essere in grado di risolvere i nomi per gli endpoint locali di Active Directory e per gli endpoint di Azure AD.

  • Azure AD Connect richiede la connettività di rete a tutti i domini configurati

  • Se nella Intranet sono disponibili firewall ed è necessario aprire porte tra i server Azure AD Connect e i controller di dominio, vedere porte Azure AD Connect per altre informazioni.

  • Se il proxy o il firewall limita gli URL a cui è possibile accedere, è necessario aprire gli URL documentati in URL e intervalli di indirizzi IP di Office 365. Vedere anche Safelist the portale di Azure URLs on your firewall or proxy server(Aggiungere gli URL di sicurezza al firewall o al server proxy).

    • Se si usa il cloud Microsoft in Germania o il cloud Microsoft Azure per enti pubblici, vedere Azure AD Connect sulle istanze del servizio di sincronizzazione per gli URL.
  • Per impostazione predefinita Azure AD Connect (versione 1.1.614.0 e successive) usa TLS 1.2 per crittografare le comunicazioni tra il motore di sincronizzazione e Azure AD. Se TLS 1.2 non è disponibile nel sistema operativo sottostante, Azure AD Connect esegue il fallback in modo incrementale sui protocolli meno recenti (TLS 1.1 e TLS 1.0).

  • Prima della versione 1.1.614.0, per impostazione predefinita, Azure AD Connect usa TLS 1.0 per crittografare le comunicazioni tra il motore di sincronizzazione e Azure AD. Per passare a TLS 1.2 seguire i passaggi descritti in Abilitare TLS 1.2 per Azure AD Connect.

  • Se si usa un proxy in uscita per la connessione a Internet, è necessario aggiungere l'impostazione seguente nel file C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config per l'installazione guidata e la sincronizzazione Azure AD Connect per potersi connettere a Internet e Azure AD. Questo testo deve essere immesso alla fine del file. In questo codice < PROXYADDRESS rappresenta > l'indirizzo IP proxy o il nome host effettivo.

        <system.net>
            <defaultProxy>
                <proxy
                usesystemdefault="true"
                proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
                bypassonlocal="true"
                />
            </defaultProxy>
        </system.net>
    
  • Se il server proxy richiede l'autenticazione, l'account del servizio deve trovarsi nel dominio. Usare il percorso di installazione delle impostazioni personalizzate per specificare un account del servizio personalizzato. È anche necessaria una modifica diversa per machine.config. Con questa modifica in machine.config, l'installazione guidata e il motore di sincronizzazione rispondono alle richieste di autenticazione dal server proxy. In tutte le pagine dell'installazione guidata, esclusa la pagina Configura, vengono usate le credenziali dell'utente connesso. Nella pagina Configura alla fine dell'installazione guidata il contesto viene commutato sull'account del servizio creato. La machine.config dovrebbe essere simile alla seguente:

        <system.net>
            <defaultProxy enabled="true" useDefaultCredentials="true">
                <proxy
                usesystemdefault="true"
                proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
                bypassonlocal="true"
                />
            </defaultProxy>
        </system.net>
    
  • Se la configurazione del proxy viene eseguita in un'installazione esistente, il servizio di sincronizzazione Microsoft Azure AD deve essere riavviato una volta per il Azure AD Connect per leggere la configurazione del proxy e aggiornare il comportamento.

  • Quando Azure AD Connect invia una richiesta Web ad Azure AD come parte della sincronizzazione della directory, possono essere necessari fino a 5 minuti per ottenere la risposta da Azure AD. I server proxy hanno in comune la configurazione del timeout di inattività della connessione. Assicurarsi che la configurazione sia impostata su almeno 6 minuti o più.

Per altre informazioni, vedere MSDN sull'elemento proxy predefinito. Per altre informazioni in caso di problemi di connettività, vedere Risolvere i problemi di connettività.

Altro

Facoltativo: usare un account utente di test per verificare la sincronizzazione.

Prerequisiti dei componenti

PowerShell e .NET Framework

Azure AD Connect si basa su Microsoft PowerShell e .NET Framework 4.5.1. Nel server deve essere installata questa versione o una versione successiva. A seconda della versione di Windows Server, eseguire le azioni seguenti:

  • Windows Server 2012 R2
    • Microsoft PowerShell viene installato per impostazione predefinita, Non è richiesta alcuna azione.
    • .NET Framework 4.5.1 e versioni successive sono disponibili tramite Windows Update. Assicurarsi di aver installato gli aggiornamenti più recenti di Windows Server in Pannello di controllo.
  • Windows Server 2012

Abilitare TLS 1.2 per Azure AD Connect

Prima della versione 1.1.614.0, per impostazione predefinita Azure AD Connect usa TLS 1.0 per crittografare le comunicazioni tra il server del motore di sincronizzazione e Azure AD. È possibile configurare le applicazioni .NET per l'uso di TLS 1.2 per impostazione predefinita nel server. Per altre informazioni su TLS 1.2, vedere l'avviso di sicurezza Microsoft 2960358.

  1. Assicurarsi di avere installato l'hotfix .NET 4.5.1 per il sistema operativo in uso. Per altre informazioni, vedere l'avviso di sicurezza Microsoft 2960358. Questo hotfix o una versione successiva potrebbe essere già installata nel server.

  2. Per tutti i sistemi operativi impostare questa chiave del Registro di sistema e riavviare il server.

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
    "SchUseStrongCrypto"=dword:00000001
    
  3. Se si vuole anche abilitare TLS 1.2 tra il server del motore di sincronizzazione e un SQL Server remoto, assicurarsi che siano installate le versioni necessarie per il supporto di TLS 1.2per Microsoft SQL Server .

Prerequisiti DCOM nel server di sincronizzazione

Durante l'installazione del servizio di sincronizzazione, Azure AD Connect verifica la presenza della chiave del Registro di sistema seguente:

  • HKEY_LOCAL_MACHINE: Software\Microsoft\Ole

In questa chiave del Registro Azure AD Connect verifica se i valori seguenti sono presenti e senza interruzioni:

Prerequisiti per l'installazione e la configurazione dei servizi federativi

Gestione remota Windows

Quando si usa Azure AD Connect per distribuire AD FS web Application Proxy (WAP), verificare i requisiti seguenti:

  • Se il server di destinazione è aggiunto a un dominio, assicurarsi che Gestione remota Windows sia abilitato.
    • In una finestra di comando di PowerShell con privilegi elevati usare il comando Enable-PSRemoting –force .
  • Se il server di destinazione è un computer WAP non aggiunto al dominio, sono necessari alcuni requisiti aggiuntivi:
    • Nel computer di destinazione (computer WAP):
      • Verificare che il Gestione remota Windows/WS-Management (WinRM) sia in esecuzione tramite lo snap-in Servizi.
      • In una finestra di comando di PowerShell con privilegi elevati usare il comando Enable-PSRemoting –force .
    • Nel computer in cui è in esecuzione la procedura guidata (se il computer di destinazione non è aggiunto a un dominio o è un dominio non trusted):
      • In una finestra di comando di PowerShell con privilegi elevati usare il comando Set-Item.WSMan:\localhost\Client\TrustedHosts –Value <DMZServerFQDN> -Force –Concatenate .
      • In Server Manager:
        • Aggiungere un host WAP della rete perimetrale a un pool di computer. In Server Manager selezionare Gestisci > Aggiungi server e quindi usare la scheda DNS.
        • Nella scheda Server Manager Tutti i server fare clic con il pulsante destro del mouse sul server WAP e scegliere Gestisci come. Immettere le credenziali locali (non di dominio) per il computer WAP.
        • Per convalidare la connettività remota di PowerShell, nella scheda Server Manager Tutti i server fare clic con il pulsante destro del mouse sul server WAP e scegliere Windows PowerShell. Dovrebbe essere aperta una sessione remota di PowerShell per garantire che possano essere stabilite sessioni remote di PowerShell.

Requisiti del certificato TLS/SSL

  • È consigliabile usare lo stesso certificato TLS/SSL in tutti i nodi della farm AD FS e in tutti i server Application Proxy Web.
  • Il certificato deve essere un certificato X509.
  • È possibile utilizzare un certificato autofirmato su server federativi in un ambiente di testing. Per un ambiente di produzione, è consigliabile ottenere il certificato da un'autorità di certificazione pubblica.
    • Se si usa un certificato non attendibile pubblicamente, assicurarsi che il certificato installato in ogni server Web Application Proxy sia attendibile sia nel server locale che in tutti i server federativi.
  • L'identità del certificato deve corrispondere al nome del servizio federativo (ad esempio, sts.contoso.com).
    • L'identità è un'estensione del nome alternativo del soggetto (SAN) di tipo dNSName oppure, se non sono presenti voci SAN, il nome del soggetto viene specificato come nome comune.
    • Nel certificato possono essere presenti più voci SAN, a condizione che una di esse corrisponda al nome del servizio federativo.
    • Se si prevede di usare Workplace Join, è necessaria una SAN aggiuntiva con il valore enterpriseregistration. seguito dal suffisso del nome dell'entità utente (UPN) dell'organizzazione, ad esempio enterpriseregistration.contoso.com.
  • I certificati basati su chiavi CNG (CryptoAPI next-generation) e provider di archiviazione chiavi (KSP) non sono supportati. Di conseguenza, è necessario usare un certificato basato su un provider del servizio di crittografia (CSP) e non su un KSP.
  • I certificati con caratteri jolly sono supportati.

Risoluzione dei nomi per i server federativi

  • Configurare i record DNS per il nome AD FS (ad esempio, sts.contoso.com) sia per la intranet (il server DNS interno) che per la extranet (DNS pubblico tramite il registrar). Per il record DNS Intranet, accertarsi di usare record A e non record CNAME. L'uso di record A è necessario per autenticazione di Windows funzioni correttamente dal computer aggiunto al dominio.
  • Se si distribuiscono più server AD FS o server Web Application Proxy, assicurarsi di aver configurato il servizio di bilanciamento del carico e che i record DNS per il nome AD FS (ad esempio, sts.contoso.com) puntino al servizio di bilanciamento del carico.
  • Affinché l'autenticazione integrata di Windows funzioni per le applicazioni browser che usano Internet Explorer nella intranet, assicurarsi che il nome del AD FS (ad esempio, sts.contoso.com) sia aggiunto all'area Intranet in Internet Explorer. Questo requisito può essere controllato tramite Criteri di gruppo e distribuito a tutti i computer aggiunti a un dominio.

Componenti di supporto di Azure AD Connect

Azure AD Connect installa i componenti seguenti nel server in cui Azure AD Connect installato. L'elenco riguarda un'istallazione di SQL Express di base. Se si sceglie di usare un SQL Server nella pagina Installa servizi di sincronizzazione, SQL Express LocalDB non viene installato in locale.

  • Azure AD Connect Health
  • Utilità della riga di comando di Microsoft SQL Server 2012
  • Microsoft SQL Server 2012 Express LocalDB
  • Client nativo di Microsoft SQL Server 2012
  • Microsoft Visual C++ 2013 Redistribution Package

Requisiti hardware per Azure AD Connect

La tabella seguente illustra i requisiti minimi per il computer Azure AD Connect sincronizzazione dati.

Numero di oggetti in Active Directory CPU Memoria Dimensioni del disco rigido
Meno di 10.000 1,6 GHz 4 GB 70 GB
10.000-50.000 1,6 GHz 4 GB 70 GB
50.000-100.000 1,6 GHz 16 GB 100 GB
Per 100.000 o più oggetti, è necessaria la versione completa SQL Server. Per motivi di prestazioni, è preferibile installare localmente.
100.000-300.000 1,6 GHz 32 GB 300 GB
300.000-600.000 1,6 GHz 32 GB 450 GB
Più di 600.000 1,6 GHz 32 GB 500 GB

I requisiti minimi per i computer che eseguono AD FS server Application Proxy Web sono:

  • CPU: dual core da 1,6 GHz o superiore
  • Memoria: almeno 2 GB
  • Macchina virtuale di Azure: configurazione A2 o superiore

Passaggi successivi

Altre informazioni su Integrazione delle identità locali con Azure Active Directory.