Configurare Microsoft Entra Domain Services per supportare la sincronizzazione dei profili utente per SharePoint Server

SharePoint Server include un servizio per sincronizzare i profili utente. Questa funzionalità consente l'archiviazione dei profili utente in una posizione centrale e accessibile in più siti e farm di SharePoint. Per configurare il servizio profili utente di SharePoint Server, è necessario concedere le autorizzazioni appropriate in un dominio gestito di Microsoft Entra Domain Services. Per altre informazioni, vedere sincronizzazione dei profili utente in SharePoint Server.

Questo articolo illustra come configurare Servizi di dominio per consentire il servizio di sincronizzazione profili utente di SharePoint Server.

Prima di iniziare

Per completare questo articolo, sono necessari i privilegi e le risorse seguenti:

• Una sottoscrizione di Azure attiva.
  • Se non hai un abbonamento Azure, crea un account.
• Un tenant di Microsoft Entra associato alla tua sottoscrizione, sincronizzato o con una directory locale oppure con una directory solo cloud.
  • Se necessario, crea un tenant di Microsoft Entra o associa una sottoscrizione di Azure al tuo account.
• Un dominio gestito di Microsoft Entra Domain Services abilitato e configurato nel tenant di Microsoft Entra.
  • Se necessario, completa l'esercitazione per creare e configurare un dominio gestito di Microsoft Entra Domain Services.
• VM di gestione di Windows Server collegata al dominio gestito dei Servizi di dominio.
  • Se necessario, completare l'esercitazione per creare una macchina virtuale di gestione.
• Un account utente che sia un membro del gruppo amministratori di Microsoft Entra DC nel tenant di Microsoft Entra.
• Nome dell'account del servizio SharePoint per il servizio di sincronizzazione dei profili utente. Per ulteriori informazioni sull'account di sincronizzazione dei profili , vedere Piano per gli account amministrativi e di servizio in SharePoint Server. Per ottenere il nome dell'account di sincronizzazione profili di dal sito Web Amministrazione centrale di SharePoint, fare clic su Gestione applicazioni,>Gestisci applicazioni di servizio,>applicazione di servizio profili utente. Per altre informazioni, vedere Configurare la sincronizzazione dei profili tramite l'importazione di SharePoint Active Directory in SharePoint Server.

Panoramica degli account di servizio

In un dominio gestito esiste un gruppo di sicurezza nominato Microsoft Entra DC Service Accounts nell'ambito dell'unità organizzativa (OU) Users. I membri di questo gruppo di sicurezza sono delegati ai privilegi seguenti:

• Replicare le modifiche della directory privilegio per DSE radice.Replicate Directory Changes privilege on the root DSE.
• replicare le modifiche della directory privilegio nel contesto di denominazione configurazione ( contenitorecn=configuration).

Anche il gruppo di sicurezza Microsoft Entra DC Service Accounts è membro del gruppo predefinito Accesso compatibile conpre-Windows 2000.

Quando viene aggiunto a questo gruppo di sicurezza, all'account del servizio per la sincronizzazione dei profili utente di SharePoint Server vengono concessi i privilegi necessari per funzionare correttamente.

Abilitare il supporto per la sincronizzazione dei profili utente di SharePoint Server

L'account del servizio per SharePoint Server necessita di privilegi adeguati per replicare le modifiche alla directory e consentire il corretto funzionamento della sincronizzazione del profilo utente di SharePoint Server. Per fornire questi privilegi, aggiungere l'account del servizio usato per la sincronizzazione dei profili utente di SharePoint al gruppo account del servizio Microsoft Entra DC.

Dalla macchina virtuale di gestione di Servizi di dominio completare la procedura seguente:

Nota

Per modificare l'appartenenza a un gruppo in un dominio gestito, è necessario accedere a un account utente membro del gruppo AAD DC Administrators.

1. Nella schermata Start selezionare Strumenti di amministrazione. Viene visualizzato un elenco degli strumenti di gestione disponibili installati nell'esercitazione per creare una macchina virtuale di gestione.

2. Per gestire l'appartenenza ai gruppi, selezionare Centro di amministrazione di Active Directory dall'elenco degli strumenti di amministrazione.

3. Nel riquadro sinistro scegliere il dominio gestito, ad esempio aaddscontoso.com. Viene visualizzato un elenco di unità organizzative e risorse esistenti.

4. Selezionare l'unità organizzativa Utenti , quindi scegliere il gruppo di sicurezza account del servizio Microsoft Entra DC.

5. Selezionare Membri, quindi scegliere Aggiungi....

6. Immettere il nome dell'account del servizio SharePoint, quindi selezionare OK. Nell'esempio seguente l'account del servizio SharePoint è denominato spadmin: