Passaggio 2: sincronizzazione delle identitàStep 2: Synchronize identities

Questo passaggio è obbligatorio per gli ambienti ibridi e si applica alle versioni E3 ed E5 di Microsoft 365 EnterpriseThis step is required for hybrid environments and applies to both the E3 and E5 versions of Microsoft 365 Enterprise

Con il Passaggio 2 è possibile sincronizzare l'ambiente Windows Server Active Directory (AD) con il tenant Azure Active Directory (AD) utilizzato per gli abbonamenti a Office 365 Enterprise Mobility + Security (EMS).In Step 2, you'll synchronize your on-premises Windows Server Active Directory (AD) with the Azure Active Directory (AD) tenant used by your Office 365 and Enterprise Mobility + Security (EMS) subscriptions.

Azure AD Connect è lo strumento Microsoft che guida gli amministratori nel processo di sincronizzazione di quelle identità degli ambienti Windows Server AD con una o più foreste che sono necessarie per il proprio tenant Azure AD.Azure AD Connect is the supported Microsoft tool that guides you through synchronizing only the identities you really need from single or multi-forest Windows Server AD environments to your Azure AD tenant.

Modalità di Azure AD Connect per sincronizzare la directory locale con Azure AD

Modalità di Azure AD Connect per sincronizzare la directory locale con Azure ADHow Azure AD Connect synchronizes your on-premises directory with Azure AD

La prima decisione relativa alla soluzione delle identità ibride, riguarda i requisiti di autenticazione. Le opzioni sono le seguenti:The first decision in your hybrid identity solution is your authentication requirement. The following options are options:

  • Con l'autenticazione gestita, Azure AD gestisce il processo di autenticazione per l'accesso utente. Esistono due metodi di autenticazione gestita:With managed authentication, Azure AD handles the authentication process for user sign-in. There are two methods for managed authentication:
    • Sincronizzazione degli hash delle password (PHS)[Opzione consigliata e obbligatoria per alcune funzionalità premium]. Questo è il modo più semplice per abilitare l'autenticazione per gli oggetti directory locali in Azure AD. Azure AD Connect estrae l'hash delle password da Active Directory, esegue ulteriori procedure di sicurezza sulla password e la salva in Azure AD. Per ulteriori informazioni, vedere Implementare la sincronizzazione degli hash delle password con la sincronizzazione Azure AD Connect.Password Hash Sync (PHS) [Recommended and required for some premium features]. This is the simplest way to enable authentication for on-premises directory objects in Azure AD. Azure AD Connect extracts the hashed password from Active Directory, does extra security processing on the password, and saves it in Azure AD. For more information, see Implement password hash synchronization with Azure AD Connect sync.
    • L'autenticazione pass-through (PTA) offre una soluzione semplice di convalida della password per i servizi basati su Azure AD. La PTA utilizza un agente su uno o più server locali per convalidare le autenticazioni utente direttamente da Windows Server AD locale. Per ulteriori informazioni, vedere Accesso utente con autenticazione pass-through di Azure Active Directory.Pass-through Authentication (PTA) provides a simple password validation solution for Azure AD-based services. PTA uses an agent running on one or more on-premises servers to validate the user authentications directly with your on-premises Windows Server AD. For more information, see User sign-in with Azure Active Directory Pass-through Authentication.
  • Con l'autenticazione federata, il processo di autenticazione viene reindirizzato a un altro provider di identità tramite un server federativo di identità, come Active Directory Federation Services (ADFS), per l'accesso utente. Il provider di identità può fornire altri metodi di autenticazione, ad esempio l'autenticazione basata su una smart card. Per ulteriori informazioni, vedere Scegliere il giusto metodo di autenticazione per la soluzione delle identità ibride di Azure Active Directory.With federated authentication, the authentication process is redirected to another identity provider through an identity federation server, such as Active Directory Federation Services (AD FS), for a user’s sign-in. The identity provider can provide additional authentication methods, such as smartcard-based authentication. For more information, see Federated identity for Office 365.

Una volta determinata la soluzione delle identità ibride, scaricare ed eseguire lo Strumento IdFix DirSync Error Remediation Tool per analizzare Windows Server AD e cercare eventuali problemi.After you've determined your hybrid identity solution, download and run the IdFix Directory Synchronization Error Remediation Tool to analyze your Windows Server AD for issues.

Dopo aver risolto tutti i problemi identificati tramite lo strumento IdFix, vedere Implementazione della sincronizzazione hash delle password per installare lo strumento Azure AD Connect e configurare la sincronizzazione di directory tra Windows Server AD locale e il tenant Azure AD per Office 365 e gli abbonamenti EMS. Dopo l'inizio della sincronizzazione, sarà possibile mantenere gli account e i gruppi utente con il provider di identità locale, come Windows Server AD.After resolving all of the issues identified by the IdFix tool, see Set up directory synchronization for Office 365 for guidance on installing the Azure AD Connect tool and configuring directory synchronization between your on-premises Windows Server AD and the Azure AD tenant for your Office 365 and EMS subscriptions. After synchronization starts, you'll maintain your user accounts and groups with your on-premises identity provider, such as Windows Server AD.

I risultati di questo passaggio sono:The results of this step are:

  • Azure AD Connect è in esecuzione in un server ed esegue il provisioning dei gruppi e degli account utente da Windows Server AD locale al tenant Azure AD.Azure AD Connect is running on a server and is provisioning the user accounts and groups from your on-premises Windows Server AD to your Azure AD tenant.
  • Gli utenti possono utilizzare i nomi degli account utente di Windows Server Active Directory locale per accedere a Office 365.Users can use user account names of your on-premises Windows Server AD to successfully sign in to Office 365.
Guide del laboratorio di testing per il cloud Microsoft Guida del laboratorio di testing: sincronizzazione hash delle passwordTest Lab Guide: Password hash synchronization
Guida del laboratorio di testing: autenticazione pass-throughTest Lab Guide: Multi-factor authentication

Come checkpoint provvisorio, vedere i criteri di completamento relativi a questo passaggio.As an interim checkpoint, you can see the exit criteria corresponding to this step.

Passaggio successivoNext step

Personalizzare la pagina di accesso a Office 365Customize the Office 365 sign-in page