Prerequisiti di Azure AD Connect

Questo articolo descrive i prerequisiti e i requisiti hardware per Azure Active Directory (Azure AD) Connessione.

Prima di installare Azure AD Connect

Prima di installare Azure AD Connect, sono necessari alcuni elementi.

Azure AD

  • È necessario un tenant di Azure AD. Uno è disponibile con una versione di valutazione gratuita di Azure. È possibile usare uno dei portali seguenti per gestire Azure AD Connect:
  • Aggiungere e verificare il dominio che si prevede di usare in Azure AD. Ad esempio, se si prevede di usare contoso.com per gli utenti, assicurarsi che questo dominio sia stato verificato e che non si usi solo il dominio predefinito contoso.onmicrosoft.com.
  • Un tenant di Azure AD consente, per impostazione predefinita, 50.000 oggetti. Quando si verifica il dominio, il limite aumenta a 300.000 oggetti. Se sono necessari ancora più oggetti in Azure AD, aprire un caso di supporto per aumentare ulteriormente il limite. Se sono necessari più di 500.000 oggetti, è necessaria una licenza, ad esempio Microsoft 365, Azure AD Premium o Enterprise Mobility + Security.

Preparare i dati locali

Active Directory locale

  • Il livello funzionale della foresta e la versione dello schema di Active Directory devono essere Windows Server 2003 o una versione successiva. I controller di dominio possono eseguire qualsiasi versione, purché siano soddisfatti i requisiti del livello della foresta e della versione dello schema.
  • Il controller di dominio usato da Azure AD deve essere scrivibile. L'uso di un controller di dominio di sola lettura non è supportato e la Connessione di Azure AD non segue alcun reindirizzamento in scrittura.
  • Uso di foreste o domini locali usando "punteggiato" (nome contiene un punto ".") I nomi NetBIOS non sono supportati.
  • È consigliabile abilitare il cestino di Active Directory.

Criteri di esecuzione di PowerShell

Azure Active Directory Connessione esegue script di PowerShell firmati come parte dell'installazione. Assicurarsi che i criteri di esecuzione di PowerShell consentano l'esecuzione di script.

I criteri di esecuzione consigliati durante l'installazione sono "RemoteSigned".

Per altre informazioni sull'impostazione dei criteri di esecuzione di PowerShell, vedere Set-ExecutionPolicy.

Server di Azure AD Connect

Il server di Connessione di Azure AD contiene dati di identità critici. È importante che l'accesso amministrativo a questo server sia protetto correttamente. Seguire le linee guida in Protezione dell'accesso con privilegi.

Il server di Connessione di Azure AD deve essere considerato come componente di livello 0 come documentato nel modello di livello amministrativo di Active Directory. È consigliabile proteggere il server di Connessione di Azure AD come asset del piano di controllo seguendo le indicazioni fornite in Secure Privileged Access

Per altre informazioni sulla protezione dell'ambiente Active Directory, vedere Procedure consigliate per la protezione di Active Directory.

Prerequisiti di installazione

  • Azure AD Connessione deve essere installato in un Windows Server 2016 aggiunto al dominio o versione successiva.
  • È supportata anche la versione minima di .Net Framework 4.6.2 e le versioni più recenti di .Net.
  • Non è possibile installare Azure AD Connessione in Small Business Server o Windows Server Essentials prima del 2019 (Windows Server Essentials 2019 è supportato). Il server deve utilizzare Windows Server Standard o versione successiva.
  • Il server Azure AD Connect deve avere un'interfaccia utente grafica completa installata. L'installazione di Connessione di Azure AD in Windows Server Core non è supportata.
  • Il server di Connessione di Azure AD non deve avere Criteri di gruppo di trascrizione di PowerShell abilitato se si usa la procedura guidata Connessione di Azure AD per gestire la configurazione Active Directory Federation Services (AD FS). È possibile abilitare la trascrizione di PowerShell se si usa la procedura guidata di Azure AD Connessione per gestire la configurazione di sincronizzazione.
  • Se AD FS viene distribuito:
  • Non è supportato per interrompere e analizzare il traffico tra Azure AD Connessione e Azure AD. In questo modo può interrompere il servizio.
  • Se gli amministratori globali hanno abilitato MFA, l'URL https://secure.aadcdn.microsoftonline-p.comdeve trovarsi nell'elenco dei siti attendibili. Viene richiesto di aggiungere questo sito all'elenco dei siti attendibili quando viene richiesta una richiesta di autenticazione a più fattori e non è stata aggiunta prima. È possibile usare Internet Explorer per aggiungerlo ai siti attendibili.
  • Se si prevede di usare Azure AD Connessione Health per la sincronizzazione, assicurarsi che vengano soddisfatti anche i prerequisiti per Azure AD Connessione Health. Per altre informazioni, vedere Installazione dell'agente integrità di Azure AD Connessione.

Proteggere il server di Connessione di Azure AD

È consigliabile proteggere il server di Connessione di Azure AD per ridurre la superficie di attacco di sicurezza per questo componente critico dell'ambiente IT. Seguendo queste raccomandazioni, è possibile attenuare alcuni rischi di sicurezza per l'organizzazione.

  • È consigliabile proteggere il server di Connessione di Azure AD come asset piano di controllo (in precedenza livello 0) seguendo le indicazioni fornite nel modello di livello amministrativoSecure Privileged Access e Active Directory.
  • Limitare l'accesso amministrativo al server di Connessione di Azure AD solo agli amministratori di dominio o ad altri gruppi di sicurezza strettamente controllati.
  • Creare un account dedicato per tutti i dipendenti con accesso con privilegi. Gli amministratori non devono esplorare il Web, controllare la posta elettronica e eseguire attività di produttività quotidiane con account con privilegi elevati.
  • Seguire le indicazioni fornite in Protezione dell'accesso con privilegi.
  • Negare l'uso dell'autenticazione NTLM con il server AADConnect. Ecco alcuni modi per eseguire questa operazione: limitare NTLM nel server AADConnect e limitare NTLM in un dominio
  • Assicurarsi che ogni computer disponga di una password di amministratore locale univoca. Per altre informazioni, vedere Soluzione password amministratore locale (LAPS) può configurare password casuali univoche in ogni workstation e server archiviarle in Active Directory protette da un elenco di controllo di accesso. Solo gli utenti autorizzati idonei possono leggere o richiedere la reimpostazione di queste password di account amministratore locale. È possibile ottenere il laPS da usare nelle workstation e nei server dall'Area download Microsoft. Altre indicazioni per l'funzionamento di un ambiente con LAPS e workstation di accesso con privilegi (PAWs) sono disponibili negli standard operativi basati sul principio di origine pulita.
  • Implementare workstation di accesso con privilegi dedicati per tutti i dipendenti con accesso con privilegi ai sistemi informativi dell'organizzazione.
  • Seguire queste linee guida aggiuntive per ridurre la superficie di attacco dell'ambiente Active Directory.
  • Seguire le modifiche apportate alla configurazione federativa per configurare gli avvisi per monitorare le modifiche apportate all'attendibilità stabilita tra Idp e Azure AD.
  • Abilitare Multi Factor Authentication (MFA) per tutti gli utenti che hanno accesso con privilegi in Azure AD o in AD. Un problema di sicurezza relativo all'uso di AADConnect è che se un utente malintenzionato può controllare il server di azure AD Connessione possono modificare gli utenti in Azure AD. Per impedire a un utente malintenzionato di usare queste funzionalità per acquisire account Azure AD, L'autenticazione a più fattori offre protezioni in modo che anche se un utente malintenzionato riesce a reimpostare la password di un utente usando Azure AD Connessione non possono comunque ignorare il secondo fattore.

SQL Server usato da Azure AD Connect

  • Per archiviare i dati sull'identità, Azure AD Connect richiede un database SQL. Per impostazione predefinita, viene installato un SQL Server 2019 Express Local DB (una versione leggera di SQL Server Express). SQL Server Express ha un limite di dimensioni di 10 GB che consente di gestire circa 100.000 oggetti. Se è necessario gestire un volume superiore di oggetti directory, puntare l'installazione guidata a un'installazione diversa di SQL Server. Il tipo di installazione di SQL Server può influire sulle prestazioni dei Connessione di Azure AD.
  • Se si usa un'installazione diversa di SQL Server, questi requisiti si applicano:
    • Azure AD Connessione supporta tutte le versioni di SQL Server dal 2012 (con il Service Pack più recente) al SQL Server 2019. database SQL di Azure non è supportato come database. Ciò include sia database SQL di Azure che Istanza gestita di SQL di Azure.
    • È necessario usare regole di confronto SQL senza distinzione tra maiuscole e minuscole. Queste regole di confronto vengono identificate con un oggetto _CI_ nel nome. L'uso di regole di confronto con distinzione tra maiuscole e minuscole identificate da _CS_ nel nome non è supportato.
    • È possibile disporre di un solo motore di sincronizzazione per ogni SQL istanza. La condivisione di un'istanza di SQL con SINCRONIZZAZIONe FIM/MIM, DirSync o Azure AD Sync non è supportata.

Account

  • È necessario disporre di un account amministratore globale di Azure AD per il tenant di Azure AD con cui si vuole integrare. Questo account deve essere un account dell'istituto di istruzione o dell'organizzazione e non può essere un account Microsoft.
  • Se si usano le impostazioni rapide o l'aggiornamento da DirSync, è necessario disporre di un account amministratore di Enterprise per il Active Directory locale.
  • Se si usa il percorso di installazione delle impostazioni personalizzate, sono disponibili altre opzioni. Per altre informazioni, vedere Impostazioni di installazione personalizzate.

Connettività

  • Il server Azure AD Connect necessita della risoluzione DNS per Intranet e Internet. Il server DNS deve essere in grado di risolvere i nomi per gli endpoint locali di Active Directory e per gli endpoint di Azure AD.

  • Azure AD Connessione richiede la connettività di rete a tutti i domini configurati

  • Se si dispone di firewall nella intranet e è necessario aprire le porte tra i server di Connessione di Azure AD e i controller di dominio, vedere Porte di Azure AD Connessione per altre informazioni.

  • Se è possibile accedere agli URL o al firewall, gli URL documentati negli URL Office 365 e negli intervalli di indirizzi IP devono essere aperti. Vedere Anche Safelist gli URL di portale di Azure nel firewall o nel server proxy.

  • Per impostazione predefinita Azure AD Connect (versione 1.1.614.0 e successive) usa TLS 1.2 per crittografare le comunicazioni tra il motore di sincronizzazione e Azure AD. Se TLS 1.2 non è disponibile nel sistema operativo sottostante, Azure AD Connect esegue il fallback in modo incrementale sui protocolli meno recenti (TLS 1.1 e TLS 1.0). Da Azure AD Connessione versione 2.0 successiva. TLS 1.0 e 1.1 non sono più supportati e l'installazione avrà esito negativo se TLS 1.2 non è abilitato.

  • Prima della versione 1.1.614.0, per impostazione predefinita, Azure AD Connect usa TLS 1.0 per crittografare le comunicazioni tra il motore di sincronizzazione e Azure AD. Per passare a TLS 1.2 seguire i passaggi descritti in Abilitare TLS 1.2 per Azure AD Connect.

  • Se si usa un proxy in uscita per la connessione a Internet, è necessario aggiungere l'impostazione seguente nel file C:\Windows\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config per l'installazione guidata e la sincronizzazione di Azure AD Connessione per poter connettersi a Internet e Azure AD. Questo testo deve essere immesso alla fine del file. In questo codice PROXYADDRESS<> rappresenta l'indirizzo IP proxy effettivo o il nome host.

        <system.net>
            <defaultProxy>
                <proxy
                usesystemdefault="true"
                proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
                bypassonlocal="true"
                />
            </defaultProxy>
        </system.net>
    
  • Se il server proxy richiede l'autenticazione, l'account del servizio deve trovarsi nel dominio. Usare il percorso di installazione delle impostazioni personalizzate per specificare un account del servizio personalizzato. È inoltre necessaria una modifica diversa per machine.config. Con questa modifica in machine.config, l'installazione guidata e il motore di sincronizzazione rispondono alle richieste di autenticazione dal server proxy. In tutte le pagine della procedura guidata di installazione, escluse la pagina Configura , vengono usate le credenziali dell'utente connesso. Nella pagina Configura alla fine della procedura guidata di installazione, il contesto passa all'account del servizio creato. La sezione machine.config dovrebbe essere simile alla seguente:

        <system.net>
            <defaultProxy enabled="true" useDefaultCredentials="true">
                <proxy
                usesystemdefault="true"
                proxyaddress="http://<PROXYADDRESS>:<PROXYPORT>"
                bypassonlocal="true"
                />
            </defaultProxy>
        </system.net>
    
  • Se la configurazione del proxy viene eseguita in una configurazione esistente, il servizio di sincronizzazione Microsoft Azure AD deve essere riavviato una volta per il Connessione di Azure AD per leggere la configurazione del proxy e aggiornare il comportamento.

  • Quando Azure AD Connect invia una richiesta Web ad Azure AD come parte della sincronizzazione della directory, possono essere necessari fino a 5 minuti per ottenere la risposta da Azure AD. È comune che i server proxy abbiano la configurazione del timeout inattiva della connessione. Assicurarsi che la configurazione sia impostata su almeno 6 minuti o più.

Per altre informazioni, vedere MSDN sull'elemento proxy predefinito. Per altre informazioni in caso di problemi di connettività, vedere Risolvere i problemi di connettività.

Altri

Facoltativo: usare un account utente di test per verificare la sincronizzazione.

Prerequisiti dei componenti

PowerShell e .NET Framework

Azure AD Connessione dipende da Microsoft PowerShell 5.0 e .NET Framework 4.5.1. Nel server deve essere installata questa versione o una versione successiva.

Abilitare TLS 1.2 per Azure AD Connect

Prima della versione 1.1.614.0, per impostazione predefinita Azure AD Connect usa TLS 1.0 per crittografare le comunicazioni tra il server del motore di sincronizzazione e Azure AD. Per impostazione predefinita, è possibile configurare applicazioni .NET per usare TLS 1.2. Per altre informazioni su TLS 1.2, vedere Microsoft Security Advisory 2960358.

  1. Assicurarsi di avere l'hotfix .NET 4.5.1 installato per il sistema operativo. Per altre informazioni, vedere Microsoft Security Advisory 2960358. Questo hotfix o una versione successiva potrebbe essere già installata nel server.

  2. Per tutti i sistemi operativi impostare questa chiave del Registro di sistema e riavviare il server.

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
    "SchUseStrongCrypto"=dword:00000001
    
  3. Se si vuole anche abilitare TLS 1.2 tra il server del motore di sincronizzazione e un SQL Server remoto, assicurarsi di avere le versioni necessarie installate per il supporto tls 1.2 per Microsoft SQL Server.

Prerequisiti DCOM nel server di sincronizzazione

Durante l'installazione del servizio di sincronizzazione, Azure AD Connessione verifica la presenza della chiave del Registro di sistema seguente:

  • HKEY_LOCAL_MACHINE: Software\Microsoft\Ole

In questa chiave del Registro di sistema, Azure AD Connessione verificherà se i valori seguenti sono presenti e non corretti:

Prerequisiti per l'installazione e la configurazione dei servizi federativi

Gestione remota Windows

Quando si usa Azure AD Connessione per distribuire AD FS o il web Application Proxy (WAP), controllare questi requisiti:

  • Se il server di destinazione è aggiunto al dominio, assicurarsi che Windows Managed remoto sia abilitato.
    • In una finestra dei comandi di PowerShell con privilegi elevati usare il comando Enable-PSRemoting –force.
  • Se il server di destinazione è un computer WAP non aggiunto a un dominio, esistono alcuni requisiti aggiuntivi:
    • Nel computer di destinazione (computer WAP):
      • Verificare che il servizio Windows Gestione remota/Gestione remota (WinRM) sia in esecuzione tramite lo snap-in Servizi.
      • In una finestra dei comandi di PowerShell con privilegi elevati usare il comando Enable-PSRemoting –force.
    • Nel computer in cui è in esecuzione la procedura guidata (se il computer di destinazione è aggiunto non a un dominio o è un dominio non attendibile):
      • In una finestra dei comandi di PowerShell con privilegi elevati usare il comando Set-Item.WSMan:\localhost\Client\TrustedHosts –Value <DMZServerFQDN> -Force –Concatenate.
      • Nella gestione server:
        • Aggiungere un host WAP DMZ a un pool di computer. Nella gestione server selezionare Gestisci>server aggiuntivi e quindi usare la scheda DNS .
        • Nella scheda Server Manager Tutti i server fare clic con il pulsante destro del mouse sul server WAP e scegliere Gestisci come. Immettere le credenziali locali (non di dominio) per il computer WAP.
        • Per convalidare la connettività remota di PowerShell, nella scheda Server Manager Tutti i server fare clic con il pulsante destro del mouse sul server WAP e selezionare Windows PowerShell. Una sessione remota di PowerShell deve essere aperta per garantire che le sessioni di PowerShell remote possano essere stabilite.

Requisiti del certificato TLS/SSL

  • È consigliabile usare lo stesso certificato TLS/SSL in tutti i nodi della farm DI AD FS e tutti i server di Application Proxy Web.
  • Il certificato deve essere un certificato X509.
  • È possibile utilizzare un certificato autofirmato su server federativi in un ambiente di testing. Per un ambiente di produzione, è consigliabile ottenere il certificato da un'autorità di certificazione pubblica.
    • Se si usa un certificato non attendibile pubblicamente, assicurarsi che il certificato installato in ogni server di Application Proxy Web sia attendibile sia nel server locale che in tutti i server federativi.
  • L'identità del certificato deve corrispondere al nome del servizio federativo (ad esempio, sts.contoso.com).
    • L'identità è un'estensione SAN (Subject Alternative Name) di tipo dNSName o, se non sono presenti voci SAN, il nome soggetto viene specificato come nome comune.
    • Più voci SAN possono essere presenti nel certificato fornito uno di essi corrisponde al nome del servizio federativo.
    • Se si prevede di usare Workplace Join, è necessaria una san aggiuntiva con il valore enterpriseregistration. Seguito dal suffisso UPN (User Principal Name) dell'organizzazione, ad esempio enterpriseregistration.contoso.com.
  • I certificati basati sulle chiavi CNG (CryptoAPI) e sui provider di archiviazione delle chiavi (KSP) non sono supportati. Di conseguenza, è necessario usare un certificato basato su un provider di servizi di crittografia (CSP) e non su un provider di servizi di crittografia.
  • I certificati con caratteri jolly sono supportati.

Risoluzione dei nomi per i server federativi

  • Configurare i record DNS per il nome AD FS (ad esempio, sts.contoso.com) sia per la intranet (server DNS interno) sia per la extranet (DNS pubblico tramite il registrar di dominio). Per il record DNS Intranet, accertarsi di usare record A e non record CNAME. L'uso di record A è necessario per autenticazione di Windows funzionare correttamente dal computer aggiunto al dominio.
  • Se si distribuiscono più server AD FS o server Web Application Proxy, assicurarsi di aver configurato il servizio di bilanciamento del carico e che i record DNS per il nome AD FS (ad esempio, sts.contoso.com) puntino al servizio di bilanciamento del carico.
  • Per Windows l'autenticazione integrata per il funzionamento delle applicazioni browser tramite Internet Explorer nella intranet, assicurarsi che il nome ad AD FS (ad esempio, sts.contoso.com) venga aggiunto all'area Intranet in Internet Explorer. Questo requisito può essere controllato tramite Criteri di gruppo e distribuito in tutti i computer aggiunti al dominio.

Componenti di supporto di Azure AD Connect

Azure AD Connessione installa i componenti seguenti nel server in cui è installato Azure AD Connessione. L'elenco riguarda un'istallazione di SQL Express di base. Se si sceglie di usare un SQL Server diverso nella pagina Installa servizi di sincronizzazione, SQL Express Local DB non è installato in locale.

  • Azure AD Connect Health
  • utilità della riga di comando Microsoft SQL Server 2019
  • Microsoft SQL Server 2019 Express Local DB
  • Microsoft SQL Server 2019 Native Client
  • pacchetto di ridistribuzione Microsoft Visual C++ 14

Requisiti hardware per Azure AD Connect

La tabella seguente illustra i requisiti minimi per il computer di sincronizzazione di Azure AD Connessione.

Numero di oggetti in Active Directory CPU Memoria Dimensioni del disco rigido
Meno di 10.000 1,6 GHz 4 GB 70 GB
10.000-50.000 1,6 GHz 4 GB 70 GB
50.000-100.000 1,6 GHz 16 GB 100 GB
Per 100.000 o più oggetti, è necessaria la versione completa di SQL Server. Per motivi di prestazioni, è preferibile installare localmente.
100.000-300.000 1,6 GHz 32 GB 300 GB
300.000-600.000 1,6 GHz 32 GB 450 GB
Più di 600.000 1,6 GHz 32 GB 500 GB

I requisiti minimi per i computer che eseguono AD FS o server web Application Proxy sono:

  • CPU: dual core da 1,6 GHz o superiore
  • Memoria: 2 GB o versione successiva
  • Macchina virtuale di Azure: configurazione A2 o superiore

Passaggi successivi

Altre informazioni su Integrazione delle identità locali con Azure Active Directory.