Integrazione di directory tra il server Azure MFA e Active DirectoryDirectory integration between Azure MFA Server and Active Directory

Usare la sezione Integrazione directory del server Azure MFA per l'integrazione con Active Directory o un'altra directory LDAP.Use the Directory Integration section of the Azure MFA Server to integrate with Active Directory or another LDAP directory. È possibile configurare attributi corrispondenti allo schema di directory e impostare la sincronizzazione automatica degli utenti.You can configure attributes to match the directory schema and set up automatic user synchronization.

ImpostazioniSettings

Per impostazione predefinita, il server Azure Multi-Factor Authentication (MFA) è configurato per importare o sincronizzare utenti da Active Directory.By default, the Azure Multi-Factor Authentication (MFA) Server is configured to import or synchronize users from Active Directory. La scheda Integrazione directory permette di eseguire l'override del comportamento predefinito e di eseguire il binding a una directory LDAP diversa, a una directory ADAM oppure a un controller di dominio di Active Directory specifico.The Directory Integration tab allows you to override the default behavior and to bind to a different LDAP directory, an ADAM directory, or specific Active Directory domain controller. Permette anche di usare l'autenticazione LDAP per il proxy LDAP o per binding LDAP come destinazione RADIUS, la preautenticazione per l'autenticazione IIS oppure l'autenticazione primaria per il portale utenti.It also provides for the use of LDAP Authentication to proxy LDAP or for LDAP Bind as a RADIUS target, pre-authentication for IIS Authentication, or primary authentication for User Portal. La tabella seguente illustra le singole impostazioni.The following table describes the individual settings.

Impostazioni

FunzionalitàFeature DescrizioneDescription
Usa Active DirectoryUse Active Directory Selezionare l'opzione Usa Active Directory per usare Active Directory per l'importazione e la sincronizzazione.Select the Use Active Directory option to use Active Directory for importing and synchronization. Questa è l'impostazione predefinita.This is the default setting.
Nota: per un corretto funzionamento dell'integrazione con Active Directory, è necessario aggiungere il computer a un dominio e accedere con un account di dominio.Note: For Active Directory integration to work properly,join the computer to a domain and sign in with a domain account.
Includi domini trustedInclude trusted domains Selezionare Includi domini attendibili per fare in modo che l'agente provi a connettersi ai domini ritenuti attendibili dal dominio corrente, a un altro dominio nella foresta o a domini coinvolti in un trust tra foreste.Check Include Trusted Domains to have the agent attempt to connect to domains trusted by the current domain, another domain in the forest, or domains involved in a forest trust. Se non si importano o sincronizzano utenti da domini trusted, deselezionare la casella di controllo per migliorare le prestazioni.When not importing or synchronizing users from any of the trusted domains, uncheck the checkbox to improve performance. La casella di controllo è selezionata per impostazione predefinita.The default is checked.
Usa configurazione LDAP specificaUse specific LDAP configuration Selezionare l'opzione Usa configurazione LDAP specifica per usare le impostazioni LDAP specificate per l'importazione e la sincronizzazione.Select the Use LDAP option to use the LDAP settings specified for importing and synchronization. Nota: quando l'opzione Usa configurazione LDAP specifica è selezionata, l'interfaccia utente modifica i riferimenti da Active Directory a LDAP.Note: When Use LDAP is selected, the user interface changes references from Active Directory to LDAP.
Pulsante ModificaEdit button Il pulsante Modifica permette la modifica delle impostazioni di configurazione correnti per LDAP.The Edit button allows the current LDAP configuration settings to modified.
Usa query con ambito di attributiUse attribute scope queries Indica se è necessario usare le query con ambito di attributi.Indicates whether attribute scope queries should be used. Le query con ambito di attributi permettono ricerche efficienti nella directory, qualificando i record in base alle voci disponibili nell'attributo di un altro record.Attribute scope queries allow for efficient directory searches qualifying records based on the entries in another record's attribute. Il server Azure Multi-Factor Authentication usa le query con ambito di attributi per eseguire query efficienti relative agli utenti appartenenti a un gruppo di sicurezza.The Azure Multi-Factor Authentication Server uses attribute scope queries to efficiently query the users that are a member of a security group.
Nota: in alcuni casi le query con ambito di attributi sono supportate ma non è consigliabile usarle.Note: There are some cases where attribute scope queries are supported, but shouldn't be used. Ad esempio, è possibile che in Active Directory si verifichino problemi con le query con ambito di attributi quando un gruppo di sicurezza include membri appartenenti a più di un dominio.For example, Active Directory can have issues with attribute scope queries when a security group contains members from more than one domain. In questo caso deselezionare la casella di controllo.In this case, unselect the checkbox.

La tabella seguente illustra le impostazioni di configurazione per LDAP.The following table describes the LDAP configuration settings.

FunzionalitàFeature DescrizioneDescription
ServerServer Immettere il nome host o indirizzo IP del server che esegue la directory LDAP.Enter the hostname or IP address of the server running the LDAP directory. È anche possibile specificare un server di backup separato da un punto e virgola.A backup server may also be specified separated by a semi-colon.
Nota: se per Tipo di binding è selezionato SSL, è necessario un nome host completo.Note: When Bind Type is SSL, a fully qualified hostname is required.
Nome distinto di baseBase DN Immettere il nome distinto dell'oggetto directory di base da cui vengono avviate tutte le query su directory.Enter the distinguished name of the base directory object from which all directory queries start. Ad esempio, dc=abc,dc=com.For example, dc=abc,dc=com.
Tipo di binding - QueryBind type - Queries Selezionare il tipo di binding appropriato da usare quando si associa a cercare la directory LDAP.Select the appropriate bind type for use when binding to search the LDAP directory. Il tipo selezionato viene usato per le importazioni, la sincronizzazione e la risoluzione del nome utente.This is used for imports, synchronization, and username resolution.

Anonimo: consente di eseguire un binding anonimo.Anonymous - An anonymous bind is performed. Non vengono usati un nome distinto di binding e una password di binding.Bind DN and Bind Password are not used. Questa impostazione funziona solo se la directory LDAP consente il binding anonimo e le autorizzazioni consentono l'esecuzione di query sugli attributi e i record appropriati.This only works if the LDAP directory allows anonymous binding and permissions allow the querying of the appropriate records and attributes.

Semplice: consente di passare il nome distinto di binding e la password di binding come testo normale per eseguire il binding alla directory LDAP.Simple - Bind DN and Bind Password are passed as plain text to bind to the LDAP directory. Serve unicamente a scopo di test, per verificare che il server sia raggiungibile e che l'account di binding abbia l'accesso appropriato.This is for testing purposes, to verify that the server can be reached and that the bind account has the appropriate access. Dopo aver installato il certificato appropriato, usare SSL.After the appropriate cert has been installed, use SSL instead.

SSL: consente di crittografare il nome distinto di binding e la password di binding tramite SSL per eseguire il binding alla directory LDAP.SSL - Bind DN and Bind Password are encrypted using SSL to bind to the LDAP directory. Viene installato in locale un certificato considerato attendibile dalla directory LDAP.Install a cert locally that the LDAP directory trusts.

Windows: consente di usare il nome utente di binding e la password di binding per eseguire la connessione sicura a un controller di dominio di Active Directory o a una directory ADAM.Windows - Bind Username and Bind Password are used to securely connect to an Active Directory domain controller or ADAM directory. Se il valore Nome utente di binding viene lasciato vuoto, per il binding viene usato l'account dell'utente connesso.If Bind Username is left blank, the logged-on user's account is used to bind.
Tipo di binding - AutenticazioniBind type - Authentications Selezionare il tipo di binding appropriato da usare quando si esegue l'autenticazione di binding LDAP.Select the appropriate bind type for use when performing LDAP bind authentication. Vedere le descrizioni del tipo di binding in Tipo di binding - Query.See the bind type descriptions under Bind type - Queries. In questo modo, ad esempio, è consentito l'uso di un binding anonimo per le query, mentre il binding SSL viene usato per proteggere le autenticazioni di binding LDAP.For example, this allows for Anonymous bind to be used for queries while SSL bind is used to secure LDAP bind authentications.
Nome distinto di binding o nome utente di bindingBind DN or Bind username Immettere il nome distinto del record utente per l'account da usare quando si esegue il binding alla directory LDAP.Enter the distinguished name of the user record for the account to use when binding to the LDAP directory.

Il nome distinto di binding viene usato solo quando il tipo di binding è Semplice o SSL.The bind distinguished name is only used when Bind Type is Simple or SSL.

Immettere il nome utente dell'account Windows da usare quando si esegue il binding alla directory LDAP con il tipo di binding Windows.Enter the username of the Windows account to use when binding to the LDAP directory when Bind Type is Windows. Se il valore viene lasciato vuoto, per il binding viene usato l'account dell'utente connesso.If left blank, the logged-on user's account is used to bind.
Password di bindingBind Password Immettere la password di binding per il nome distinto di binding o nome utente usato per il binding alla directory LDAP.Enter the bind password for the Bind DN or username being used to bind to the LDAP directory. Per configurare la password per il servizio ADSync del server Multi-Factor Authentication, abilitare la sincronizzazione e assicurarsi che il servizio sia in esecuzione nel computer locale.To configure the password for the Multi-Factor Auth Server AdSync Service, enable synchronization and ensure that the service is running on the local machine. La password viene salvata in Gestione nomi utente e password archiviati di Windows nell'account usato dal servizio ADSync del server Multi-Factor Authentication.The password is saved in the Windows Stored Usernames and Passwords under the account the Multi-Factor Auth Server AdSync Service is running as. La password viene salvata anche nell'account usato dall'interfaccia utente del server Multi-Factor Authentication e in quello usato dal servizio del server Multi-Factor Authentication.The password is also saved under the account the Multi-Factor Auth Server user interface is running as and under the account the Multi-Factor Auth Server Service is running as.

Dato che la password viene archiviata solo in Gestione nomi utente e password archiviati di Windows nel server locale, è necessario ripetere questo passaggio in ogni server Multi-Factor Authentication che richiede l'accesso alla password.Since the password is only stored in the local server's Windows Stored Usernames and Passwords, repeat this step on each Multi-Factor Auth Server that needs access to the password.
Limite dimensione queryQuery size limit Specificare le dimensioni massime per il numero massimo di utenti restituito da una ricerca nella directory.Specify the size limit for the maximum number of users that a directory search returns. Questo limite deve corrispondere alla configurazione nella directory LDAP.This limit should match the configuration on the LDAP directory. Per le ricerche estese in cui non è supportato il paging, l'importazione e la sincronizzazione provano a recuperare gli utenti in batch.For large searches where paging is not supported, import and synchronization attempts to retrieve users in batches. Se il limite di dimensioni specificato è superiore al limite configurato nella directory LDAP, alcuni utenti non vengano trovati.If the size limit specified here is larger than the limit configured on the LDAP directory, some users may be missed.
Pulsante TestTest button Fare clic su Test per verificare il binding al server LDAP.Click Test to test binding to the LDAP server.

Non è necessario selezionare l'opzione Usa configurazione LDAP specifica per verificare il binding.You don't need to select the Use LDAP option to test binding. In questo modo è possibile verificare il binding prima di usare la configurazione LDAP.This allows the binding to be tested before you use the LDAP configuration.

FiltriFilters

I filtri permettono di configurare criteri per qualificare i record durante l'esecuzione di una ricerca di directory.Filters allow you to set criteria to qualify records when performing a directory search. Il filtro permette di definire l'ambito degli oggetti da sincronizzare.By setting the filter, you can scope the objects you want to synchronize.

Filtri

Azure Multi-Factor Authentication offre le tre opzioni di filtro seguenti:Azure Multi-Factor Authentication has the following three filter options:

  • Filtro contenitore : specificare i criteri di filtro usati per qualificare record contenitori quando si esegue una ricerca di directory.Container filter - Specify the filter criteria used to qualify container records when performing a directory search. Per Active Directory e ADAM, in genere si usa (|(objectClass=organizationalUnit)(objectClass=container)).For Active Directory and ADAM, (|(objectClass=organizationalUnit)(objectClass=container)) is commonly used. Per altre directory LDAP, usare criteri di filtro che qualificano ogni tipo di oggetto contenitore, a seconda dello schema di directory.For other LDAP directories, use filter criteria that qualifies each type of container object, depending on the directory schema.
    Nota: se viene lasciato vuoto, per impostazione predefinita viene usato ((objectClass=organizationalUnit)(objectClass=container)).Note: If left blank, ((objectClass=organizationalUnit)(objectClass=container)) is used by default.
  • Filtro gruppo di sicurezza : specificare i criteri di filtro usati per qualificare record gruppi di sicurezza quando si esegue una ricerca di directory.Security group filter - Specify the filter criteria used to qualify security group records when performing a directory search. Per Active Directory e ADAM, in genere si usa (&(objectCategory=group)(groupType:1.2.840.113556.1.4.804:=-2147483648)).For Active Directory and ADAM, (&(objectCategory=group)(groupType:1.2.840.113556.1.4.804:=-2147483648)) is commonly used. Per altre directory LDAP, usare criteri di filtro che qualificano ogni tipo di oggetto gruppo di sicurezza, a seconda dello schema di directory.For other LDAP directories, use filter criteria that qualifies each type of security group object, depending on the directory schema.
    Nota: se viene lasciato vuoto, per impostazione predefinita viene usato (&(objectCategory=group)(groupType:1.2.840.113556.1.4.804:=-2147483648)).Note: If left blank, (&(objectCategory=group)(groupType:1.2.840.113556.1.4.804:=-2147483648)) is used by default.
  • Filtro utente : specificare i criteri di filtro usati per qualificare record utenti quando si esegue una ricerca di directory.User filter - Specify the filter criteria used to qualify user records when performing a directory search. Per Active Directory e ADAM, in genere si usa (&(objectClass=user)(objectCategory=person)).For Active Directory and ADAM, (&(objectClass=user)(objectCategory=person)) is commonly used. Per altre directory LDAP, usare (objectClass=inetOrgPerson) o un criterio simile, a seconda dello scherma di directory.For other LDAP directories, use (objectClass=inetOrgPerson) or something similar, depending on the directory schema.
    Nota: se viene lasciato vuoto, per impostazione predefinita viene usato (&(objectCategory=person)(objectClass=user)).Note: If left blank, (&(objectCategory=person)(objectClass=user)) is used by default.

AttributiAttributes

È possibile personalizzare gli attributi per una directory specifica in base alle necessità.You can customize attributes as necessary for a specific directory. Questo permette di aggiungere attributi personalizzati e perfezionare la sincronizzazione per limitarla solo agli attributi necessari.This allows you to add custom attributes and fine-tune the synchronization to only the attributes that you need. Usare il nome dell'attributo definito nello schema di directory per valore di ogni campo attributo.Use the name of the attricute as defined in the directory schema for the value of each attribute field. La tabella seguente contiene informazioni aggiuntive su ognuna delle funzionalità.The following table provides additional information about each feature.

Gli attributi possono essere immessi manualmente e non devono corrispondere necessariamente a un attributo dell'elenco.Attributes may be entered manually and are not required to match an attribute in the attribute list.

Attributi

FunzionalitàFeature DescrizioneDescription
Identificatore univocoUnique identifier Immettere il nome dell'attributo da usare come identificatore univoco di record contenitori, gruppi di sicurezza e utenti.Enter the attribute name of the attribute that serves as the unique identifier of container, security group, and user records. In Active Directory si usa in genere objectGUID.In Active Directory, this is usually objectGUID. In altre implementazioni LDAP è possibile usare entryUUID o un valore simile.Other LDAP implementations may use entryUUID or something similar. Il valore predefinito è objectGUID.The default is objectGUID.
Tipo di identificatore univocoUnique identifier type Selezionare il tipo di attributo dell'identificatore univoco.Select the type of the unique identifier attribute. In Active Directory l'attributo objectGUID è di tipo GUID.In Active Directory, the objectGUID attribute is of type GUID. In altre implementazioni LDAP è possibile usare il tipo Stringa o Matrice di byte ASCII.Other LDAP implementations may use type ASCII Byte Array or String. Il valore predefinito è GUID.The default is GUID.

È importante impostare correttamente questo tipo, perché il relativo identificatore univoco fa riferimento agli elementi di sincronizzazione.It is important to set this type correctly since Synchronization Items are referenced by their Unique Identifier. Il tipo identificatore univoco viene usato per trovare direttamente l'oggetto nella directory.The Unique Identifier Type is used to directly find the object in the directory. Se si imposta questo tipo su Stringa mentre nella directory il valore viene archiviato come matrice di byte di caratteri ASCII, la sincronizzazione non può funzionare correttamente.Setting this type to String when the directory actually stores the value as a byte array of ASCII characters prevents synchronization from functioning properly.
Nome distintoDistinguished name Immettere il nome dell'attributo che contiene il nome distinto per ogni record.Enter the attribute name of the attribute that contains the distinguished name for each record. In Active Directory si usa in genere distinguishedName.In Active Directory, this is usually distinguishedName. In altre implementazioni LDAP è possibile usare entryDN o un valore simile.Other LDAP implementations may use entryDN or something similar. Il valore predefinito è distinguishedName.The default is distinguishedName.

Se non esiste un attributo contenente solo il nome distinto, è possibile usare l'attributo adspath.If an attribute containing just the distinguished name doesn't exist, the adspath attribute may be used. La parte "LDAP://<server>/" del percorso viene automaticamente rimossa lasciando solo il nome distinto dell'oggetto.The "LDAP://<server>/" portion of the path is automatically stripped off, leaving just the distinguished name of the object.
Nome del contenitoreContainer name Immettere il nome dell'attributo che contiene il nome in un record contenitore.Enter the attribute name of the attribute that contains the name in a container record. Il valore di questo attributo viene visualizzato nella Gerarchia contenitori durante l'importazione da Active Directory o l'aggiunta di elementi di sincronizzazione.The value of this attribute is displayed in the Container Hierarchy when importing from Active Directory or adding synchronization items. Il valore predefinito è name.The default is name.

Se contenitori diversi usano attributi diversi per i relativi nomi, è possibile specificare più attributi del nome contenitore separati da un punto e virgola.If different containers use different attributes for their names, use semi-colons to separate multiple container name attributes. Il primo attributo del nome contenitore trovato in un oggetto contenitore viene usato per visualizzarne il nome.The first container name attribute found on a container object is used to display its name.
Nome gruppo di sicurezzaSecurity group name Immettere il nome dell'attributo che contiene il nome in un record gruppo di sicurezza.Enter the attribute name of the attribute that contains the name in a security group record. Il valore di questo attributo viene visualizzato nell'elenco Gruppo di sicurezza durante l'importazione da Active Directory o l'aggiunta di elementi di sincronizzazione.The value of this attribute is displayed in the Security Group list when importing from Active Directory or adding synchronization items. Il valore predefinito è name.The default is name.
Nome utenteUsername Immettere il nome dell'attributo che contiene il nome utente in un record utente.Enter the attribute name of the attribute that contains the username in a user record. Il valore di questo attributo viene usato come nome utente del server Multi-Factor Authentication.The value of this attribute is used as the Multi-Factor Auth Server username. È possibile specificare anche un secondo attributo come backup del primo.A second attribute may be specified as a backup to the first. Il secondo attributo viene usato solo se il primo non contiene un valore per l'utente.The second attribute is only used if the first attribute does not contain a value for the user. I valori predefiniti sono userPrincipalName e sAMAccountName.The defaults are userPrincipalName and sAMAccountName.
NomeFirst name Immettere il nome dell'attributo che contiene il nome in un record utente.Enter the attribute name of the attribute that contains the first name in a user record. Il valore predefinito è givenName.The default is givenName.
CognomeLast name Immettere il nome dell'attributo che contiene il cognome in un record utente.Enter the attribute name of the attribute that contains the last name in a user record. Il valore predefinito è sn.The default is sn.
Indirizzo di posta elettronicaEmail address Immettere il nome dell'attributo che contiene l'indirizzo e-mail in un record utente.Enter the attribute name of the attribute that contains the email address in a user record. L'indirizzo di posta elettronica viene usato per inviare all'utente messaggi di benvenuto e di aggiornamento.Email address is used to send welcome and update emails to the user. Il valore predefinito è mail.The default is mail.
Gruppo utentiUser group Immettere il nome dell'attributo che contiene il gruppo utenti in un record utente.Enter the attribute name of the attribute that contains the user group in a user record. Il gruppo utenti consente di filtrare utenti nell'agente e nei report del portale di gestione del server Multi-Factor Authentication.User group can be used to filter users in the agent and on reports in the Multi-Factor Auth Server Management Portal.
DescrizioneDescription Immettere il nome dell'attributo che contiene la descrizione in un record utente.Enter the attribute name of the attribute that contains the description in a user record. La descrizione viene usata solo per le ricerche.Description is only used for searching. Il valore predefinito è description.The default is description.
Lingua telefonataPhone call language Immettere il nome dell'attributo che contiene il nome breve della lingua da usare per le chiamate vocali all'utente.Enter the attribute name of the attribute that contains the short name of the language to use for voice calls for the user.
Lingua SMSText message language Immettere il nome dell'attributo che contiene il nome breve della lingua da usare per i messaggi SMS inviati all'utente.Enter the attribute name of the attribute that contains the short name of the language to use for SMS text messages for the user.
Lingua app mobileMobile app language Immettere il nome dell'attributo che contiene il nome breve della lingua da usare per i messaggi SMS inviati dall'app telefono all'utente.Enter the attribute name of the attribute that contains the short name of the language to use for phone app text messages for the user.
Lingua token OATHOATH token language Immettere il nome dell'attributo che contiene il nome breve della lingua da usare per i messaggi SMS inviati dal token OATH all'utente.Enter the attribute name of the attribute that contains the short name of the language to use for OATH token text messages for the user.
Telefono ufficioBusiness phone Immettere il nome dell'attributo che contiene il numero di telefono dell'ufficio in un record utente.Enter the attribute name of the attribute that contains the business phone number in a user record. Il valore predefinito è telephoneNumber.The default is telephoneNumber.
Telefono abitazioneHome phone Immettere il nome dell'attributo che contiene il numero di telefono dell'abitazione in un record utente.Enter the attribute name of the attribute that contains the home phone number in a user record. Il valore predefinito è homePhone.The default is homePhone.
CercapersonePager Immettere il nome dell'attributo che contiene il cercapersone in un record utente.Enter the attribute name of the attribute that contains the pager number in a user record. Il valore predefinito è pager.The default is pager.
CellulareMobile phone Immettere il nome dell'attributo che contiene il numero di telefono cellulare in un record utente.Enter the attribute name of the attribute that contains the mobile phone number in a user record. Il valore predefinito è mobile.The default is mobile.
FaxFax Immettere il nome dell'attributo che contiene il numero di fax in un record utente.Enter the attribute name of the attribute that contains the fax number in a user record. Il valore predefinito è facsimileTelephoneNumber.The default is facsimileTelephoneNumber.
Telefono IPIP phone Immettere il nome dell'attributo che contiene il numero di telefono IP in un record utente.Enter the attribute name of the attribute that contains the IP phone number in a user record. Il valore predefinito è ipPhone.The default is ipPhone.
PersonalizzateCustom Immettere il nome dell'attributo che contiene un numero di telefono personalizzato in un record utente.Enter the attribute name of the attribute that contains a custom phone number in a user record. Il valore predefinito è blank.The default is blank.
EstensioneExtension Immettere il nome dell'attributo che contiene l'interno telefonico in un record utente.Enter the attribute name of the attribute that contains the phone number extension in a user record. Il valore di questo campo viene usato come interno solo per il numero di telefono principale.The value of the extension field is used as the extension to the primary phone number only. Il valore predefinito è blank.The default is blank.

Se l'attributo Estensione non è specificato, è possibile includere l'interno come parte dell'attributo del telefono.If the Extension attribute is not specified, extensions can be included as part of the phone attribute. In questo caso, anteporre una "x" all'interno in modo che venga analizzato correttamente.In this case, precede the extension with an 'x' so that it gets parsed correctly. Ad esempio, 555-123-4567 x890 indica che 555-123-4567 è il numero di telefono e 890 è l'interno.For example, 555-123-4567 x890 would result in 555-123-4567 as the phone number and 890 as the extension.
Pulsante Ripristina impostazioni predefiniteRestore Defaults button Fare clic su Ripristina impostazioni predefinite per ripristinare il valore predefinito di tutti gli attributi.Click Restore Defaults to return all attributes back to their default value. Le impostazioni predefinite dovrebbero funzionare correttamente con lo schema normale di Active Directory o ADAM.The defaults should work properly with the normal Active Directory or ADAM schema.

Per modificare gli attributi, fare clic su Modifica nella scheda Attributi. Verrà visualizzata una finestra in cui è possibile modificare gli attributi.To edit attributes, click Edit on the Attributes tab. This brings up a window where you can edit the attributes. Selezionare i puntini ... accanto a un attributo per aprire una finestra in cui è possibile scegliere gli attributi da visualizzare.Select the ... next to any attribute to open a window where you can choose which attributes to display.

Modifica attributi

SincronizzazioneSynchronization

La sincronizzazione consente di mantenere il database utenti di Azure MFA sincronizzato con gli utenti di Active Directory o di un'altra directory LDAP (Lightweight Directory Access Protocol).Synchronization keeps the Azure MFA user database synchronized with the users in Active Directory or another Lightweight Directory Access Protocol (LDAP) directory. Il processo è simile alla procedura di importazione manuale di utenti da Active Directory, con la differenza che periodicamente viene eseguito il polling delle modifiche apportate ai gruppi di sicurezza e agli utenti di Active Directory da elaborare.The process is similar to importing users manually from Active Directory, but periodically polls for Active Directory user and security group changes to process. Permette anche di disattivare o rimuovere gli utenti che sono stati rimossi da un contenitore, da un gruppo di sicurezza o da Active Directory.It also disables or removes users that were removed from a container, security group, or Active Directory.

Il servizio di sincronizzazione di Active Directory del server Multi-Factor Authentication è un servizio di Windows che esegue il polling periodico di Active Directory.The Multi-Factor Auth ADSync service is a Windows service that performs the periodic polling of Active Directory. Non deve essere confuso con Azure AD Sync o Azure AD Connect.This is not to be confused with Azure AD Sync or Azure AD Connect. Il servizio di sincronizzazione di Active Directory del server Multi-Factor Authentication, benché basato su una codebase simile, è specifico per il server Azure Multi-Factor Authentication.the Multi-Factor Auth ADSync, although built on a similar code base, is specific to the Azure Multi-Factor Authentication Server. Viene installato in stato di arresto e avviato dal servizio del server Multi-Factor Authentication nel momento in cui viene configurato per l'esecuzione.It is installed in a Stopped state and is started by the Multi-Factor Auth Server service when configured to run. Se si ha una configurazione multiserver di Multi-Factor Authentication, tenere presente che il servizio di sincronizzazione di Active Directory del server Multi-Factor Authentication può essere eseguito solo su un unico server.If you have a multi-server Multi-Factor Auth Server configuration, the Multi-Factor Auth ADSync may only be run on a single server.

Il servizio di sincronizzazione di Active Directory del server Multi-Factor Authentication usa l'estensione del server LDAP DirSync fornita da Microsoft per eseguire il polling delle modifiche in modo efficiente.The Multi-Factor Auth ADSync service uses the DirSync LDAP server extension provided by Microsoft to efficiently poll for changes. È necessario che il chiamante del controllo DirSync abbia il diritto "directory get changes" e il diritto esteso di controllo di accesso DS-Replication-Get-Changes.This DirSync control caller must have the "directory get changes" right and DS-Replication-Get-Changes extended control access right. Per impostazione predefinita, questi diritti vengono assegnati agli account amministratore e LocalSystem nei controller di dominioBy default, these rights are assigned to the Administrator and LocalSystem accounts on domain controllers. e il servizio di sincronizzazione è configurato per l'esecuzione come LocalSystem.The Multi-Factor Auth AdSync service is configured to run as LocalSystem by default. Di conseguenza, è più semplice eseguire il servizio in un controller di dominio.Therefore it is simplest to run the service on a domain controller. Se si configura il servizio perché esegua sempre una sincronizzazione completa, è possibile eseguirlo come account con autorizzazioni minori.If you configure the service to always perform a full synchronization, it can run as an account with lesser permissions. Si tratta di una procedura meno efficiente, ma che richiede meno privilegi per l'account.This is less efficient, but requires fewer account privileges.

Se la directory LDAP supporta ed è configurata per DirSync, il polling delle modifiche apportate a utenti e gruppi di sicurezza viene eseguito nello stesso modo in cui avviene in Active Directory.If the LDAP directory supports and is configured for DirSync, then polling for user and security group changes will work the same as it does with Active Directory. Se la directory LDAP non supporta il controllo DirSync, viene eseguita una sincronizzazione completa durante ogni ciclo.If the LDAP directory does not support the DirSync control, then a full synchronization is performed during each cycle.

Sincronizzazione

La tabella seguente contiene informazioni aggiuntive su ciascuna delle impostazioni della scheda Sincronizzazione.The following table contains additional information on each of the Synchronization tab settings.

FunzionalitàFeature DescrizioneDescription
Abilita sincronizzazione con Active DirectoryEnable synchronization with Active Directory Se questa opzione è selezionata, il servizio del server Multi-Factor Authentication esegue periodicamente il polling delle modifiche ad Active Directory.When checked, the Multi-Factor Auth Server service periodically polls Active Directory for changes.

Nota: affinché il servizio del server Multi-Factor Authentication possa iniziare a elaborare le modifiche è necessario aggiungere almeno un elemento di sincronizzazione ed eseguire una sincronizzazione.Note: At least one Synchronization Item must be added and a Synchronize Now must be performed before the Multi-Factor Auth Server service will start processing changes.
Sincronizza ogniSynchronize every Specificare l'intervallo di attesa tra il polling e l'elaborazione delle modifiche da parte del servizio del server Multi-Factor Authentication.Specify the time interval the Multi-Factor Auth Server service will wait between polling and processing changes.

Nota: l'intervallo specificato corrisponde al lasso di tempo che intercorre tra l'inizio di ogni ciclo.Note: The interval specified is the time between the beginning of each cycle. Se il tempo impiegato per l'elaborazione delle modifiche supera l'intervallo specificato, il servizio riesegue subito il polling.If the time processing changes exceed the interval, the service will poll again immediately.
Rimuovi utenti non più presenti in Active DirectoryRemove users no longer in Active Directory Se questa opzione è selezionata, il servizio del server Multi-Factor Authentication elabora gli oggetti contrassegnati per la rimozione dell'utente di Active Directory eliminato e rimuove l'utente del server Multi-Factor Authentication correlato.When checked, the Multi-Factor Auth Server service will process Active Directory deleted user tombstones and remove the related Multi-Factor Auth Server user.
Esegui sempre una sincronizzazione completaAlways perform a full synchronization Se questa opzione è selezionata, il servizio del server Multi-Factor Authentication esegue sempre una sincronizzazione completa.When checked, the Multi-Factor Auth Server service will always perform a full synchronization. Se invece è deselezionata, il servizio del server Multi-Factor Authentication effettua una sincronizzazione incrementale eseguendo query solo sugli utenti modificati.When unchecked, the Multi-Factor Auth Server service will perform an incremental synchronization by only querying users that have changed. Per impostazione predefinita, questa opzione è deselezionata.The default is unchecked.

Se l'opzione è deselezionata, il server Azure MFA esegue una sincronizzazione incrementale solo se la directory supporta il controllo DirSync e l'account usato per il binding alla directory è autorizzato a eseguire query incrementali su DirSync.When unchecked, Azure MFA Server performs incremental synchronization only when the directory supports the DirSync control and the account binding to the directory has permissions to perform DirSync incremental queries. Se l'account non ha le autorizzazioni appropriate o se nella sincronizzazione sono coinvolti più domini, il server Azure MFA esegue una sincronizzazione completa.If the account does not have the appropriate permissions or multiple domains are involved in the synchronization, Azure MFA Server performs a full synchronization.
Richiedi l'approvazione dell'amministratore per la disabilitazione o la rimozione di più di X utentiRequire administrator approval when more than X users will be disabled or removed È possibile configurare gli elementi di sincronizzazione per disabilitare o rimuovere gli utenti che non sono più membri del contenitore o del gruppo di sicurezza dell'elemento.Synchronization items can be configured to disable or remove users who are no longer a member of the item's container or security group. Come misura di sicurezza, è possibile anche richiedere l'approvazione dell'amministratore quando il numero di utenti da disabilitare o rimuovere supera una determinata soglia.As a safeguard, administrator approval can be required when the number of users to disable or remove exceeds a threshold. Se questa opzione è selezionata, viene richiesta l'approvazione per la soglia specificata.When checked, approval is required for specified threshold. Il valore predefinito è 5 e l'intervallo valido è compreso tra 1 e 999.The default is 5 and the range is 1 to 999.

L'approvazione viene facilitata inviando prima una notifica e-mail agli amministratori.Approval is facilitated by first sending an email notification to administrators. La notifica tramite posta elettronica fornisce istruzioni per verificare e approvare la disabilitazione e la rimozione degli utenti.The email notification gives instructions for reviewing and approving the disabling and removal of users. L'approvazione viene richiesta all'avvio dell'interfaccia utente del server Multi-Factor Authentication.When the Multi-Factor Auth Server user interface is launched, it will prompt for approval.

Il pulsante Sincronizza consente di eseguire una sincronizzazione completa per gli elementi di sincronizzazione specificati.The Synchronize Now button allows you to run a full synchronization for the synchronization items specified. È necessario eseguire una sincronizzazione completa ogni volta che vengono aggiunti, modificati, rimossi o riordinati elementi di sincronizzazione.A full synchronization is required whenever synchronization items are added, modified, removed, or reordered. È necessario eseguirla anche prima di attivare il servizio ADSync di Multi-Factor Authentication, perché imposta il punto di partenza da cui il servizio eseguirà il polling delle modifiche incrementali.It is also required before the Multi-Factor Auth AdSync service is operational since it sets the starting point from which the service will poll for incremental changes. Se sono state apportate modifiche agli elementi di sincronizzazione, ma non è ancora stata eseguita una sincronizzazione completa, verrà richiesto di eseguirla.If changes have been made to synchronization items but a full synchronization hasn't been performed, you will be prompted to Synchronize Now.

Il pulsante Rimuovi consente all'amministratore di eliminare uno o più elementi di sincronizzazione dall'elenco degli elementi di sincronizzazione del server Multi-Factor Authentication.The Remove button allows the administrator to delete one or more synchronization items from the Multi-Factor Auth Server synchronization item list.

Avviso

Dopo la rimozione, un record di elemento di sincronizzazione non può più essere recuperato.Once a synchronization item record has been removed, it cannot be recovered. Se è stato eliminato per errore, è necessario aggiungerlo di nuovo.You will need to add the synchronization item record again if you deleted it by mistake.

L'elemento o gli elementi di sincronizzazione rimossi dal server Multi-Factor AuthenticationThe synchronization item or synchronization items have been removed from Multi-Factor Auth Server. non vengono più elaborati dal server.The Multi-Factor Auth Server service will no longer process the synchronization items.

I pulsanti Sposta su e Sposta giù consentono all'amministratore di modificare l'ordine degli elementi di sincronizzazione.The Move Up and Move Down buttons allow the administrator to change the order of the synchronization items. L'ordine è importante poiché uno stesso utente può essere membro di più elementi di sincronizzazione, ad esempio di un contenitore e di un gruppo di sicurezza.The order is important since the same user may be a member of more than one synchronization item (e.g. a container and a security group). Le impostazioni applicate all'utente durante la sincronizzazione derivano dal primo elemento di sincronizzazione presente nell'elenco a cui è associato l'utente.The settings applied to the user during synchronization will come from the first synchronization item in the list to which the user is associated. È quindi consigliabile inserire gli elementi di sincronizzazione in ordine di priorità.Therefore, the synchronization items should be put in priority order.

Suggerimento

Dopo aver rimosso elementi di sincronizzazione è opportuno eseguire una sincronizzazione completa.A full synchronization should be performed after removing synchronization items. Dopo aver ordinato gli elementi di sincronizzazione è opportuno eseguire una sincronizzazione completa.A full synchronization should be performed after ordering synchronization items. Fare clic su Sincronizza ora per eseguire una sincronizzazione completa.Click Synchronize Now to perform a full synchronization.

Server Multi-Factor AuthenticationMulti-Factor Auth Servers

È possibile impostare server Multi-Factor Authentication aggiuntivi da usare come proxy RADIUS di backup, proxy LDAP o per l'autenticazione IIS.Additional Multi-Factor Auth Servers may be set up to serve as a backup RADIUS proxy, LDAP proxy, or for IIS Authentication. La configurazione di sincronizzazione è condivisa tra tutti gli agenti,The Synchronization configuration is shared among all the agents. ma solo uno di essi può eseguire il servizio del server Multi-Factor Authentication.However, only one of these agents may have the Multi-Factor Auth Server service running. Questa scheda consente di selezionare il server Multi-Factor Authentication da abilitare per la sincronizzazione.This tab allows you to select the Multi-Factor Auth Server that should be enabled for synchronization.

Server Multi-Factor Authentication