Passaggio 2: sincronizzazione delle identitàStep 2: Synchronize identities

Questo passaggio è obbligatorio per gli ambienti ibridi e si applica alle versioni E3 ed E5 di Microsoft 365 EnterpriseThis step is required for hybrid environments and applies to both the E3 and E5 versions of Microsoft 365 Enterprise

Con il Passaggio 2 è possibile sincronizzare l'ambiente Windows Server Active Directory (AD) con il tenant Azure Active Directory (AD) utilizzato per le sottoscrizioni a Office 365 Enterprise Mobility + Security (EMS).In Step 2, you'll synchronize your on-premises Windows Server Active Directory (AD) with the Azure Active Directory (AD) tenant used by your Office 365 and Enterprise Mobility + Security (EMS) subscriptions.

Azure AD Connect è lo strumento Microsoft che guida l'utente attraverso la sincronizzazione delle sole identità necessarie dagli ambienti singoli o multipli di Windows Server AD al tenant di Azure AD.Azure AD Connect is the supported Microsoft tool that guides you through synchronizing only the identities you really need from single or multi-forest Windows Server AD environments to your Azure AD tenant.

Modalità di Azure AD Connect per sincronizzare la directory locale con Azure AD

Modalità di Azure AD Connect per sincronizzare la directory locale con Azure ADHow Azure AD Connect synchronizes your on-premises directory with Azure AD

La prima decisione relativa alla soluzione di identità ibrida, riguarda i requisiti di autenticazione. Le opzioni sono le seguenti:The first decision in your hybrid identity solution is your authentication requirement. The following options are options:

  • Con l'autenticazione gestita, Azure AD gestisce il processo di autenticazione per l'accesso utente. Esistono due metodi di autenticazione gestita:With managed authentication, Azure AD handles the authentication process for user sign-in. There are two methods for managed authentication:
    • Sincronizzazione degli hash delle password (PHS)[Opzione consigliata e obbligatoria per alcune funzionalità premium]. Questo è il modo più semplice per abilitare l'autenticazione per gli oggetti directory locali in Azure AD. Azure AD Connect estrae l'hash delle password da Active Directory, esegue ulteriori procedure di sicurezza sulla password e la salva in Azure AD. Per ulteriori informazioni, vedere Implementare la sincronizzazione degli hash delle password con la sincronizzazione Azure AD Connect.Password Hash Sync (PHS) [Recommended and required for some premium features]. This is the simplest way to enable authentication for on-premises directory objects in Azure AD. Azure AD Connect extracts the hashed password from Active Directory, does extra security processing on the password, and saves it in Azure AD. For more information, see Implement password hash synchronization with Azure AD Connect sync.
    • L'autenticazione pass-through (PTA) offre una soluzione semplice di convalida della password per i servizi basati su Azure AD. La PTA utilizza un agente su uno o più server locali per convalidare le autenticazioni utente direttamente dal Windows Server AD locale. Per ulteriori informazioni, vedere Accesso utente con autenticazione pass-through di Azure Active Directory.Pass-through Authentication (PTA) provides a simple password validation solution for Azure AD-based services. PTA uses an agent running on one or more on-premises servers to validate the user authentications directly with your on-premises Windows Server AD. For more information, see User sign-in with Azure Active Directory Pass-through Authentication.
  • Con l'autenticazione federata, il processo di autenticazione viene reindirizzato a un altro provider di identità tramite un server federativo di identità, come Active Directory Federation Services (ADFS), per l'accesso utente. Il provider di identità può fornire altri metodi di autenticazione, ad esempio l'autenticazione basata su una smart card. Per ulteriori informazioni, vedere Identità federative per Office 365.With federated authentication, the authentication process is redirected to another identity provider through an identity federation server, such as Active Directory Federation Services (AD FS), for a user’s sign-in. The identity provider can provide additional authentication methods, such as smartcard-based authentication. For more information, see Federated identity for Office 365.

Una volta determinata la soluzione di identità ibrida, scaricare ed eseguire lo Strumento IdFix DirSync Error Remediation Tool per analizzare il Windows Server AD alla ricerca di errori.After you've determined your hybrid identity solution, download and run the IdFix Directory Synchronization Error Remediation Tool to analyze your Windows Server AD for issues.

Dopo aver risolto tutti gli errori identificati tramite lo strumento IdFix, vedere Impostare la sincronizzazione directory per Office 365 per la guida sull'istallazione dello strumento Azure AD Connect e sulla configurazione della sincronizzazione directory tra il Windows Server AD locale e il tenant Azure AD per Office 365 e le sottoscrizioni EMS. Dopo l'inizio della sincronizzazione, sarà possibile mantenere gli account e i gruppi utente con il provider di identità locale, come Windows Server AD.After resolving all of the issues identified by the IdFix tool, see Set up directory synchronization for Office 365 for guidance on installing the Azure AD Connect tool and configuring directory synchronization between your on-premises Windows Server AD and the Azure AD tenant for your Office 365 and EMS subscriptions. After synchronization starts, you'll maintain your user accounts and groups with your on-premises identity provider, such as Windows Server AD.

I risultati di questo passaggio sono:The results of this step are:

  • Azure AD Connect è in esecuzione in un server ed esegue il provisioning sui gruppi e gli account utente dal Windows Server AD locale al tenant Azure AD.Azure AD Connect is running on a server and is provisioning the user accounts and groups from your on-premises Windows Server AD to your Azure AD tenant.
  • Gli utenti possono utilizzare i nomi degli account utente di Windows Server Active Directory locale per accedere a Office 365.Users can use user account names of your on-premises Windows Server AD to successfully sign in to Office 365.

Come checkpoint provvisorio, vedere i criteri uscita che corrispondono a questo passaggio.As an interim checkpoint, you can see the exit criteria corresponding to this step.

Passaggio successivoNext step

Personalizzare la pagina di accesso a Office 365Customize the Office 365 sign-in page