Ulteriori Azure Active Directory per la migrazione da Microsoft Cloud DeutschlandAdditional Azure Active Directory information for the migration from Microsoft Cloud Deutschland

Per completare lo spostamento dal cloud tedesco di Azure al cloud pubblico di Azure, è consigliabile che l'endpoint di autenticazione, Azure Active Directory (Azure AD) Graph e gli endpoint ms Graph per le applicazioni siano aggiornati a quelli del cloud commerciale quando l'endpoint OpenID Connessione (OIDC) avvia la segnalazione degli https://login.microsoftonline.com/\<TenantIdOrDomain\>/.well-known/openid-configuration endpoint cloud commerciali.To complete the move from the Azure German cloud to the Azure public cloud we recommend that the authentication endpoint, Azure Active Directory (Azure AD) Graph, and MS Graph endpoints for your applications be updated to those of the commercial cloud when the OpenID Connect (OIDC) endpoint, https://login.microsoftonline.com/\<TenantIdOrDomain\>/.well-known/openid-configuration, starts reporting commercial cloud endpoints.

Quando è consigliabile apportare questa modifica?When should I make this change?

Riceverai una notifica nel portale di Azure/Office quando il tenant completa la migrazione dal cloud tedesco al cloud commerciale.You'll receive a notification in Azure/Office portal when your tenant completes migration from German cloud to the commercial cloud. Hai 30 giorni dopo aver ricevuto questa notifica per completare questi aggiornamenti in modo che l'app continui a funzionare per i tenant migrati dal cloud di Azure Germania al cloud pubblico di Azure.You have 30 days after receiving this notification to complete these updates so that your app continues to work for tenants that are migrated from Azure Germany cloud to Azure Public cloud.

Esistono tre condizioni preliminari per aggiornare l'autorità di accesso:There are three preconditions to updating your sign-in authority:

  • L'endpoint di individuazione OIDC per il tenant https://login.microsoftonline.com/\<TenantIdOrDomain\>/.well-known/openid-configuration restituisce gli endpoint cloud pubblici di Azure AD.OIDC discovery endpoint for your tenant https://login.microsoftonline.com/\<TenantIdOrDomain\>/.well-known/openid-configuration returns Azure AD public cloud endpoints.

  • Se il tenant è configurato per la federazione, Active Directory Federation Services (AD FS) viene aggiornato per la sincronizzazione con Azure AD Public.If your tenant is set up for federation, Active Directory Federation Services (AD FS) is updated to sync with Azure AD Public. Puoi seguire le istruzioni per aggiornare le impostazioni Connessione Azure AD per apportare questa modifica.You can follow instructions to update Azure AD Connect settings for making this change.

  • Le applicazioni di risorse, se presenti, usate dalle applicazioni vengono modificate per accettare token firmati sia da Azure AD Germany che da Azure AD Public.Resource applications, if any, used by your applications are modified to accept tokens that are signed by both Azure AD Germany and Azure AD Public.

Che tipo di applicazioni?What kind of applications?

Un'applicazione può essere una delle seguenti:An application could be any of the following:

Nota

Quando un'applicazione passa login.microsoftonline.com all'uso come autorità, i token verranno firmati da questa nuova autorità.When an application switches to using login.microsoftonline.com as your authority, the tokens will be signed by this new authority. Se si ospitano applicazioni di risorse chiamate da altre app, sarà necessario consentire la convalida del token lax.If you host any resource applications that other apps call into, you will need to allow for lax token validation. Ciò significa che l'app deve consentire token firmati sia dal cloud pubblico di Azure AD Germany che da Azure AD.This means that your app needs to allow tokens that are signed by both the Azure AD Germany and Azure AD public clouds. Questa convalida del token lax è necessaria fino a quando tutte le applicazioni client che chiamano il servizio non vengono migrate completamente nel cloud pubblico di Azure AD.This lax token validation is needed until all client applications that call your service are fully migrated to the Azure AD public cloud. Dopo la migrazione, l'applicazione di risorse deve accettare solo i token firmati dal cloud pubblico di Azure AD.After migration, your resource application only needs to accept tokens signed by the Azure AD public cloud.

Cosa è necessario aggiornare?What do I need to update?

  1. Se stai ospitando un'applicazione in Azure Germania usata per autenticare gli utenti di Azure Germania o Office 365 Germany, assicurati che sia usata come autorità nel contesto https://login.microsoftonline.com di autenticazione.If you're hosting an application in Azure Germany that is used to authenticate Azure Germany or Office 365 Germany users, ensure that https://login.microsoftonline.com is used as the authority in the authentication context.

    • Vedere Contesti di autenticazione di Azure AD.See Azure AD authentication contexts.
    • Questo vale sia per l'autenticazione per l'applicazione che per tutte le API che l'applicazione potrebbe chiamare (ovvero Microsoft Graph, Azure AD Graph, Azure Resource Manager).This applies both to authentication to your application as well as authentication to any APIs that your application may be calling (that is, Microsoft Graph, Azure AD Graph, Azure Resource Manager).
  2. Aggiornare l'endpoint Graph Azure AD in modo che sia https://graph.windows.net .Update Azure AD Graph endpoint to be https://graph.windows.net.

  3. Aggiornare MS Graph endpoint su https://graph.microsoft.com .Update MS Graph endpoint to be https://graph.microsoft.com.

  4. Aggiornare gli endpoint cloud tedeschi (ad esempio quelli per Exchange Online e SharePoint Online) utilizzati dalle applicazioni per essere quelli del cloud pubblico.Update any German cloud endpoints (such as those for Exchange Online and SharePoint Online) that are used by your applications to be those of the public cloud.

  5. Aggiornare i parametri dell'ambiente in modo che siano AzurePublic (anziché AzureGermany ) negli strumenti di amministrazione e negli script per:Update environment parameters to be AzurePublic (instead of AzureGermany) in administrative tools and scripts for:

Informazioni sulle applicazioni pubblicateWhat about applications that I publish?

Se si pubblica un'applicazione disponibile per gli utenti esterni al tenant, potrebbe essere necessario modificare la registrazione dell'applicazione per garantire la continuità.If you publish an application that is available to users who are outside of your tenant, you may need to change your application registration to ensure continuity. Gli altri tenant che usano l'applicazione possono essere spostati in un momento diverso rispetto al tenant.Other tenants that use your application may be moved at a different time than your tenant. Per garantire che non perdano mai l'accesso all'applicazione, dovrai acconsentire alla sincronizzazione dell'app da Azure Germania a Azure pubblico.To ensure that they never lose access to your application, you'll need to consent to your app being synchronized from Azure Germany to Azure public.

Considerazioni aggiuntiveAdditional considerations

Ecco alcune considerazioni aggiuntive per Azure AD:Here are some additional considerations for Azure AD:

  • Per l'autenticazione federata:For federated authentication:

    • Non è necessario creare, alzare di livello o abbassare di livello un dominio federato mentre è in corso la transizione del tenant.You must not create, promote, or demote a federated domain while the tenant transition is in process. Al termine della migrazione al servizio Azure AD (il tenant è completo), è possibile riprendere la gestione dei domini federati.After the migration to the Azure AD service is complete (the tenant is fully complete), you can resume managing federated domains.

    • Se si utilizza l'autenticazione federata con Active Directory Federation Services (ADFS), non è consigliabile apportare modifiche agli URI dell'autorità emittente utilizzati per tutta l'autenticazione con Servizi di dominio Active Directory locale durante la migrazione.If you're using federated authentication with Active Directory Federation Services (AD FS), you shouldn't make changes to Issuer URIs used for all authentication with your on-premises Active Directory Domain Services (AD DS) during migration. La modifica degli URI dell'autorità emittente causa errori di autenticazione per gli utenti nel dominio.Changing issuer URIs will lead to authentication failures for users in the domain. Gli URI dell'autorità emittente possono essere modificati direttamente in AD FS o quando un dominio viene convertito da gestito a federato e viceversa.Issuer URIs can be changed directly in AD FS or when a domain is converted from managed to federated and vice versa. Microsoft consiglia ai clienti di non aggiungere, rimuovere o convertire un dominio federato nel tenant di Azure AD da migrare.Microsoft recommends customers don't add, remove, or convert a federated domain in the Azure AD tenant being migrated. Gli URI dell'autorità emittente possono essere modificati al termine della migrazione.Issuer URIs can be changed after the migration is fully complete.

  • Per la rete:For networking:

    • La creazione di reti con nome IPv6 non funziona nel portale di Azure, http://portal.microsoftazure.de/ .Creating IPv6-named networks doesn't work in the Azure portal, http://portal.microsoftazure.de/. Usare il portale di Azure in per creare reti con https://portal.azure.com nome IPv6.Use the Azure portal at https://portal.azure.com to create IPv6-named networks.

    • Non è possibile creare intervalli di indirizzi IP attendibili per le impostazioni del servizio Azure Multi-Factor Authentication (MFA) dal portale Microsoft Cloud Deutschland.You can't create trusted IP address ranges for Azure Multi-Factor Authentication (MFA) service settings from the Microsoft Cloud Deutschland portal. Usare il portale di Azure AD per Office 365 per creare intervalli di indirizzi IP attendibili di Azure MFA.Use the Azure AD portal for Office 365 services to create Azure MFA trusted IP address ranges.

  • Per l'accesso condizionale:For Conditional Access:

    • I criteri di accesso condizionale con i controlli di concessione seguenti non sono supportati fino al completamento della migrazione ai servizi Office 365 (dopo la fase di finalizzazione della migrazione di Azure AD):Conditional Access policies with the following grant controls aren't supported until migration to Office 365 services is complete (after the Finalize Azure AD migration phase):

      • Richiedi dispositivo conformeRequire Compliant Device
      • Richiedi app approvataRequire Approved App
      • Richiedi criteri di protezione appRequire App Protection Policy
    • L'interfaccia dei criteri di accesso condizionale fornisce un falso avviso sull'attivazione delle impostazioni predefinite di sicurezza per il tenant anche quando è disabilitato e i criteri di accesso condizionale esistono già per il tenant.The Conditional Access policy interface gives a false warning about security defaults being enabled for the tenant even when it's disabled, and Conditional Access policies already exist for the tenant. È consigliabile ignorare l'avviso o utilizzare il portale dei Office 365 per gestire i criteri di accesso condizionale.You should ignore the warning or use the Office 365 services portal to manage Conditional Access policies.

  • Gli scenari di Intune sono supportati solo negli endpoint globali dopo il completamento della migrazione del tenant, incluse tutte le migrazioni dei carichi di lavoro di Office.Intune scenarios are supported only against worldwide endpoints after tenant migration is complete, including all office workloads migrations.

  • Gli utenti di Microsoft Cloud Deutschland che usano il metodo di notifica app per dispositivi mobili per le richieste MFA visualizzano l'ObjectId (un GUID) dell'utente anziché il nome dell'entità utente (UPN) nell'app Microsoft Authenticator.Microsoft Cloud Deutschland users who use the Mobile App Notification method for MFA requests see the user's ObjectId (a GUID) instead of the user principal name (UPN) in the Microsoft Authenticator app. Dopo che la migrazione del tenant di Azure AD è stata completata e ospitata nei servizi Office 365, le nuove Microsoft Authenticator degli utenti visualizzano gli UPN degli utenti.After migration of the Azure AD tenant is complete and hosted in Office 365 services, new Microsoft Authenticator activations will display users' UPNs. Gli Microsoft Authenticator esistenti continueranno a visualizzare l'ObjectId dell'utente, ma continueranno a funzionare per le notifiche delle app per dispositivi mobili.Existing Microsoft Authenticator accounts will continue to display the user ObjectId, but they'll continue to work for mobile app notifications.

  • Per i tenant creati dopo il 22 ottobre 2019, le impostazioni predefinite di sicurezza possono essere abilitate automaticamente per il tenant quando viene migrato nel servizio Office 365.For tenants that are created after October 22, 2019, security defaults may be auto-enabled for the tenant when it's migrated to the Office 365 service. Gli amministratori tenant possono scegliere di lasciare abilitate le impostazioni predefinite di sicurezza e di registrarsi per la MFA oppure possono disabilitare la funzionalità.Tenant admins can choose to leave security defaults enabled and register for MFA, or they can disable the feature. Per ulteriori informazioni, vedere Disabling security defaults.For more information, see Disabling security defaults.

    Nota

    Le organizzazioni che non sono abilitate automaticamente durante la migrazione potrebbero comunque essere registrate automaticamente in futuro in quanto la funzionalità per abilitare le impostazioni predefinite di sicurezza viene implementazione nel servizio Office 365.Organizations that are not auto-enabled during migration may still be auto-enrolled in the future as the feature to enable security defaults is rolled out in the Office 365 service. Gli amministratori che scelgono di disabilitare o abilitare in modo esplicito le impostazioni predefinite di sicurezza possono farlo aggiornando la funzionalità in Azure Active Directory > proprietà.Admins who choose to explicitly disable or enable security defaults may do so by updating the feature under Azure Active Directory > Properties. Dopo che la funzionalità è stata abilitata in modo esplicito dall'amministratore, non verrà abilitata automaticamente.After the feature is explicitly enabled by the admin, it will not be auto-enabled.

  • Verrà visualizzato un avviso sulla versione di Azure AD Connessione nel portale di Office 365 Germany e nel portale di Office 365 dopo la migrazione del tenant.There will be warning about the version of Azure AD Connect in the Office 365 Germany portal as well as in the Office 365 portal once the tenant is in migration. Può essere ignorato se l'avviso versione non mostra più l'avviso al termine della migrazione.This can be ignored if the version warning is no longer showing the warning after the migration is complete. Se è presente un avviso, prima o dopo la migrazione, in uno dei portali, è necessario aggiornare Connessione azure AD.If there's a warning, either before or after migration, in either portal, Azure AD Connect must be updated. Il messaggio di avviso indica: "È stato rilevato che si sta utilizzando uno strumento di sincronizzazione della directory non obsoleto.The warning message says: "We detected you're using an outdated directory sync tool. Ti consigliamo di accedere all'Area download Microsoft per ottenere la versione più recente di Azure AD Connessione."We recommend you go to the Microsoft Download Center to get the latest version of Azure AD Connect."

Ulteriori informazioniMore information

Guida introduttiva:Getting started:

Passaggio attraverso la transizione:Moving through the transition:

App cloud:Cloud apps: