Passaggio 3: configurare l'identità ibridaStep 3: Configure hybrid identity

Sincronizzare le identitàStep 7: Synchronize identities

Questo passaggio è obbligatorio per gli ambienti ibridi e si applica alle versioni E3 ed E5 di Microsoft 365 EnterpriseThis step is required for hybrid environments and applies to both the E3 and E5 versions of Microsoft 365 Enterprise

In questa sezione si sincronizzerà l'ambiente Active Directory Domain Services locale (AD DS) con il tenant di Azure Active Directory (Azure AD) usato dagli abbonamenti a Office 365 ed Enterprise Mobility + Security (EMS).In this step, you'll synchronize your on-premises Windows Server Active Directory (AD) with the Azure Active Directory (AD) tenant used by your Office 365 and Enterprise Mobility + Security (EMS) subscriptions.

Azure AD Connect è lo strumento Microsoft supportato che guida gli amministratori nel processo di sincronizzazione delle sole identità realmente necessarie da ambienti Azure Active Directory con una più foreste con il proprio tenant di Azure AD.Azure AD Connect is the supported Microsoft tool that guides you through synchronizing only the identities you really need from single or multi-forest Windows Server AD environments to your Azure AD tenant. La figura seguente mostra il processo di base per la sincronizzazione di Azure AD Connect.The following figure shows the basic process for Azure AD Connect synchronization.

Come Azure AD Connect sincronizza la directory locale con Azure AD

  1. Azure AD Connect in esecuzione in un server esegue il polling per rilevare le modifiche apportate ad account, gruppi e contatti in Active Directory Domain Services.Azure AD Connect running on a server polls AD DS for changes in accounts, groups, and contacts.
  2. Azure AD Connect invia le modifiche al tenant di Azure AD dell'abbonamento a Microsoft 365.Azure AD Connect sends those changes to the Azure AD tenant of your Microsoft 365 subscription.

La prima decisione relativa alla soluzione delle identità ibride, riguarda i requisiti di autenticazione. Le opzioni sono le seguenti:The first decision in your hybrid identity solution is your authentication requirement. The following options are options:

  • Con l'autenticazione gestita, Azure AD gestisce il processo di autenticazione per l'accesso utente. Esistono due metodi di autenticazione gestita:With managed authentication, Azure AD handles the authentication process for user sign-in. There are two methods for managed authentication:
    • Sincronizzazione dell'hash delle password [Opzione consigliata e obbligatoria per alcune funzionalità Premium].Password Hash Sync (PHS) [Recommended and required for some premium features]. Questo è il modo più semplice per abilitare l'autenticazione per gli oggetti directory locali in Azure AD.This is the simplest way to enable authentication for on-premises directory objects in Azure AD. Azure AD Connect estrae le password con hash da Active Directory Domain Services, esegue ulteriori procedure di sicurezza sulla password e la salva in Azure AD.Azure AD Connect extracts the hashed password from AD DS, does extra security processing on the password, and saves it in Azure AD. Per altre informazioni, vedere Implementare la sincronizzazione dell'hash delle password con il servizio di sincronizzazione Azure AD Connect.For more information, see Implement password synchronization with Azure AD Connect sync.
    • L'autenticazione pass-through di Azure AD offre una soluzione di convalida delle password semplice per i servizi basati su Azure AD.Pass-through Authentication (PTA) provides a simple password validation solution for Azure AD-based services. Usa un agente in esecuzione in uno o più server locali per convalidare le autenticazioni utente direttamente con Active Directory Domain Services locale.PTA uses an agent running on one or more on-premises servers to validate the user authentications directly with your on-premises AD DS. Per altre informazioni, vedere Accesso utente con l'autenticazione pass-through di Azure Active Directory.For more information, see User sign-in with Azure Active Directory Pass-through Authentication.
  • Con l'autenticazione federata, il processo di autenticazione viene reindirizzato a un altro provider di identità tramite un server federativo di identità, come Active Directory Federation Services (ADFS), per l'accesso utente. Il provider di identità può fornire altri metodi di autenticazione, ad esempio l'autenticazione basata su una smart card. Per ulteriori informazioni, vedere Scegliere il giusto metodo di autenticazione per la soluzione delle identità ibride di Azure Active Directory.With federated authentication, the authentication process is redirected to another identity provider through an identity federation server, such as Active Directory Federation Services (AD FS), for a user’s sign-in. The identity provider can provide additional authentication methods, such as smartcard-based authentication. For more information, see Choosing the right authentication method for your Azure Active Directory hybrid identity solution.

Una volta determinata la soluzione per le identità ibride, scaricare ed eseguire lo Strumento IdFix DirSync Error Remediation Tool per analizzare Active Directory Domain Services e cercare eventuali problemi.After you've determined your hybrid identity solution, download and run the IdFix Directory Synchronization Error Remediation Tool to analyze your Windows Server AD for issues.

Dopo aver risolto tutti i problemi identificati tramite lo strumento IdFix, vedere Implementare la sincronizzazione dell'hash delle password per installare lo strumento Azure AD Connect e configurare la sincronizzazione delle directory tra Active Directory Domain Services locale e il tenant di Azure AD per gli abbonamenti a Office 365 ed EMS.After resolving all of the issues identified by the IdFix tool, see Implement password hash synchronization for guidance on installing the Azure AD Connect tool and configuring directory synchronization between your on-premises Windows Server AD and the Azure AD tenant for your Office 365 and EMS subscriptions. After synchronization starts, you'll maintain your user accounts and groups with your on-premises identity provider, such as Windows Server AD. Dopo l'inizio della sincronizzazione, sarà possibile mantenere gli account utente e i gruppi con il provider di identità locale, come Active Directory Domain Services.After synchronization starts, you'll maintain your user accounts and groups with your on-premises identity provider, such as AD DS.

Microsoft offre una serie di consigli per identità e accesso ai dispositivi per garantire un ambiente di lavoro protetto e produttivo.Microsoft provides a set of recommendations for identity and device access to ensure a secure and productive workforce.

  • Per i requisiti consigliati per gli ambienti ibridi, vedere la colonna Active Directory con sincronizzazione delle password hash in Prerequisiti.For recommended requirements for hybrid environments, see the Active Directory with password hash sync column in prerequisites.

  • Per i requisiti consigliati per gli ambienti solo cloud, vedere la colonna Solo cloud in Prerequisiti.For recommended requirements for cloud only environments, see the Cloud only column in prerequisites.

Quando in Azure AD sono presenti gli utenti e i gruppi locali, è possibile iniziare ad assegnare le licenze e a usare Exchange Online.Once your on-premises users and groups are present in Azure AD, you can start assigning licenses and using Exchange Online. Per implementare Exchange Online per gli utenti ed eseguire la migrazione delle cassette postali locali, vedere Distribuire Exchange Online per Microsoft 365 Enterprise.To roll out Exchange Online to your users and migrate on-premises mailboxes, see Deploy Exchange Online for Microsoft 365 Enterprise.

Guide al lab di test per il cloud Microsoft Guida del laboratorio di testing: sincronizzazione hash delle passwordTest Lab Guide: Password hash synchronization
Guida del laboratorio di testing: autenticazione pass-throughTest Lab Guide: Pass-through authentication

Come checkpoint provvisorio, vedere i criteri di uscita relativi a questa sezione.As an interim checkpoint, you can see the exit criteria corresponding to this step.

Monitorare l'integrità della sincronizzazioneMonitor synchronization health

Questo passaggio è facoltativo e si applica alle versioni E3 ed E5 di Microsoft 365 EnterpriseThis step is optional and applies to both the E3 and E5 versions of Microsoft 365 Enterprise

In questa sezione si installerà un agente di Azure AD Connect Health in ogni server di identità locale per monitorare l'infrastruttura di gestione delle identità e i servizi di sincronizzazione forniti da Azure AD Connect.In this step, you'll install an Azure AD Connect Health agent on each of your on-premises identity servers to monitor your identity infrastructure and the synchronization services provided by Azure AD Connect. The monitoring information is made available in an Azure AD Connect Health portal, where you can view alerts, performance monitoring, usage analytics, and other information. Le informazioni sul monitoraggio vengono rese disponibili nel portale di Azure AD Connect Health, dove è possibile visualizzare avvisi, il monitoraggio delle prestazioni, analisi sull'utilizzo e altre informazioni.In this step, you'll install an Azure AD Connect Health agent on each of your on-premises identity servers to monitor your identity infrastructure and the synchronization services provided by Azure AD Connect. The monitoring information is made available in an Azure AD Connect Health portal, where you can view alerts, performance monitoring, usage analytics, and other information.

Componenti di Azure AD Connect Health

La decisione di progettazione chiave su come usare Azure AD Connect Health si basa sul modo in cui si utilizza Azure AD Connect:The key design decision of how to use Azure AD Connect Health is based on how you are using Azure AD Connect:

Dopo aver completato questa sezione:When you complete this step, you’ll have:

  • L'agente di Azure AD Connect Health è installato su ciascuno dei server del provider di identità locale.The Azure AD Connect Health agent installed on your on-premises identity provider servers.
  • Il portale di Azure AD Connect Health mostra lo stato corrente dell'infrastruttura locale e le attività di sincronizzazione con il tenant di Azure AD per gli abbonamenti a Office 365 e EMS.The Azure AD Connect Health portal displaying the current state of your on-premises infrastructure and synchronization activities with the Azure AD tenant for your Office 365 and EMS subscriptions.

Come checkpoint provvisorio, è possibile vedere i criteri uscita per questa sezione.As an interim checkpoint, you can see the exit criteria for this step.

Passaggio successivoNext step

Configurare l'autenticazione utente sicuraConfigure secure user authentication