Passaggio 7: sincronizzazione delle identitàStep 7: Synchronize identities

Questo passaggio è obbligatorio per gli ambienti ibridi e si applica alle versioni E3 ed E5 di Microsoft 365 EnterpriseThis step is required for hybrid environments and applies to both the E3 and E5 versions of Microsoft 365 Enterprise

Questo passaggio consente di sincronizzare l'ambiente Windows Server Active Directory (AD) con il tenant Azure Active Directory (AD) utilizzato per gli abbonamenti a Office 365 Enterprise Mobility + Security (EMS).In this step, you'll synchronize your on-premises Windows Server Active Directory (AD) with the Azure Active Directory (AD) tenant used by your Office 365 and Enterprise Mobility + Security (EMS) subscriptions.

Azure AD Connect è lo strumento Microsoft che guida gli amministratori nel processo di sincronizzazione di quelle identità degli ambienti Windows Server AD con una o più foreste che sono necessarie per il proprio tenant Azure AD.Azure AD Connect is the supported Microsoft tool that guides you through synchronizing only the identities you really need from single or multi-forest Windows Server AD environments to your Azure AD tenant.

Modalità di Azure AD Connect per sincronizzare la directory locale con Azure AD

Modalità di Azure AD Connect per sincronizzare la directory locale con Azure ADHow Azure AD Connect synchronizes your on-premises directory with Azure AD

La prima decisione relativa alla soluzione delle identità ibride, riguarda i requisiti di autenticazione. Le opzioni sono le seguenti:The first decision in your hybrid identity solution is your authentication requirement. The following options are options:

  • Con l'autenticazione gestita, Azure AD gestisce il processo di autenticazione per l'accesso utente. Esistono due metodi di autenticazione gestita:With managed authentication, Azure AD handles the authentication process for user sign-in. There are two methods for managed authentication:
    • Sincronizzazione degli hash delle password (PHS)[Opzione consigliata e obbligatoria per alcune funzionalità premium]. Questo è il modo più semplice per abilitare l'autenticazione per gli oggetti directory locali in Azure AD. Azure AD Connect estrae l'hash delle password da Windows Server AD, esegue ulteriori procedure di sicurezza sulla password e la salva in Azure AD. Per ulteriori informazioni, vedere Implementare la sincronizzazione degli hash delle password con la sincronizzazione Azure AD Connect.Password Hash Sync (PHS) [Recommended and required for some premium features]. This is the simplest way to enable authentication for on-premises directory objects in Azure AD. Azure AD Connect extracts the hashed password from Windows Server AD, does extra security processing on the password, and saves it in Azure AD. For more information, see Implement password hash synchronization with Azure AD Connect sync.
    • L'autenticazione pass-through (PTA) offre una soluzione semplice di convalida della password per i servizi basati su Azure AD. La PTA utilizza un agente su uno o più server locali per convalidare le autenticazioni utente direttamente da Windows Server AD locale. Per ulteriori informazioni, vedere Accesso utente con autenticazione pass-through di Azure Active Directory.Pass-through Authentication (PTA) provides a simple password validation solution for Azure AD-based services. PTA uses an agent running on one or more on-premises servers to validate the user authentications directly with your on-premises Windows Server AD. For more information, see User sign-in with Azure Active Directory Pass-through Authentication.
  • Con l'autenticazione federata, il processo di autenticazione viene reindirizzato a un altro provider di identità tramite un server federativo di identità, come Active Directory Federation Services (ADFS), per l'accesso utente. Il provider di identità può fornire altri metodi di autenticazione, ad esempio l'autenticazione basata su una smart card. Per ulteriori informazioni, vedere Scegliere il giusto metodo di autenticazione per la soluzione delle identità ibride di Azure Active Directory.With federated authentication, the authentication process is redirected to another identity provider through an identity federation server, such as Active Directory Federation Services (AD FS), for a user’s sign-in. The identity provider can provide additional authentication methods, such as smartcard-based authentication. For more information, see Choosing the right authentication method for your Azure Active Directory hybrid identity solution.

Una volta determinata la soluzione delle identità ibride, scaricare ed eseguire lo Strumento IdFix DirSync Error Remediation Tool per analizzare Windows Server AD e cercare eventuali problemi.After you've determined your hybrid identity solution, download and run the IdFix Directory Synchronization Error Remediation Tool to analyze your Windows Server AD for issues.

Dopo aver risolto tutti i problemi identificati tramite lo strumento IdFix, vedere Implementazione della sincronizzazione hash delle password per installare lo strumento Azure AD Connect e configurare la sincronizzazione di directory tra Windows Server AD locale e il tenant Azure AD per Office 365 e gli abbonamenti EMS. Dopo l'inizio della sincronizzazione, sarà possibile mantenere gli account e i gruppi utente con il provider di identità locale, come Windows Server AD.After resolving all of the issues identified by the IdFix tool, see Implement password hash synchronization for guidance on installing the Azure AD Connect tool and configuring directory synchronization between your on-premises Windows Server AD and the Azure AD tenant for your Office 365 and EMS subscriptions. After synchronization starts, you'll maintain your user accounts and groups with your on-premises identity provider, such as Windows Server AD.

Microsoft offre una serie di consigli per identità e accesso ai dispositivi per garantire un ambiente di lavoro protetto e produttivo.Microsoft provides a set of recommendations for identity and device access to ensure a secure and productive workforce.

  • Per i requisiti consigliati per gli ambienti ibridi, vedere la colonna Active Directory con sincronizzazione delle password hash in Prerequisiti.For recommended requirements for hybrid environments, see the Active Directory with password hash sync column in prerequisites.

  • Per i requisiti consigliati per gli ambienti solo cloud, vedere la colonna Solo cloud in Prerequisiti.For recommended requirements for cloud only environments, see the Cloud only column in prerequisites.

Guide al lab di test per il cloud Microsoft Guida del laboratorio di testing: sincronizzazione hash delle passwordTest Lab Guide: Password hash synchronization
Guida del laboratorio di testing: autenticazione pass-throughTest Lab Guide: Pass-through authentication

Come checkpoint provvisorio, vedere i criteri di completamento relativi a questo passaggio.As an interim checkpoint, you can see the exit criteria corresponding to this step.

Passaggio successivoNext step

Monitorare l'integrità della sincronizzazioneMonitor synchronization health