Condividi tramite

Esercitazione: Usare la sincronizzazione dell'hash delle password per l'identità ibrida in una singola foresta di Active Directory

  • Articolo

Questa esercitazione illustra come creare un ambiente di gestione delle identità ibride in Azure usando la sincronizzazione dell'hash delle password e Windows Server Active Directory (Windows Server AD). È possibile usare l'ambiente di gestione delle identità ibride creato a scopo di test per acquisire maggiore familiarità con il funzionamento di un'identità ibrida.

Diagramma che illustra come creare un ambiente di gestione delle identità ibride in Azure usando la sincronizzazione dell'hash delle password.

In questa esercitazione apprenderai a:

  • Creare una macchina virtuale.
  • Creare un ambiente Windows Server Active Directory.
  • Creare un utente di Windows Server Active Directory.
  • Creare un tenant di Microsoft Entra.
  • Creare un account amministratore delle identità ibride in Azure.
  • Configurare Microsoft Entra Connect.
  • Eseguire un test per verificare che gli utenti siano sincronizzati.

Prerequisiti

  • Un computer in cui è installato Hyper-V. È consigliabile installare Hyper-V in un computer Windows 10 o Windows Server 2016.
  • Una sottoscrizione di Azure. Se non si ha una sottoscrizione di Azure, creare un account gratuito prima di iniziare.
  • Una scheda di rete esterna, per consentire la connessione della macchina virtuale a Internet.
  • Una copia di Windows Server 2016.

Nota

In questa esercitazione si usano script di PowerShell per creare rapidamente l'ambiente dell'esercitazione. Ogni script usa variabili dichiarate all'inizio degli script. Assicurarsi di modificare le variabili in base al proprio ambiente.

Negli script dell'esercitazione viene creato un ambiente Windows Server Active Directory (Windows Server AD) generico prima dell'installazione di Microsoft Entra Connect. Gli script vengono usati anche nelle esercitazioni correlate.

Gli script di PowerShell usati in questa esercitazione sono disponibili in GitHub.

Creare una macchina virtuale

Per creare un ambiente di gestione delle identità ibride, la prima attività consiste nel creare una macchina virtuale da usare come un server Windows Server AD locale.

Nota

Se non è mai stato eseguito uno script di PowerShell nel computer host, prima di eseguire gli script, aprire Windows PowerShell ISE come amministratore ed eseguire Set-ExecutionPolicy remotesigned. Nella finestra di dialogo Modifica ai criteri di esecuzione selezionare .

Per creare la macchina virtuale:

  1. Aprire Windows PowerShell ISE come amministratore.

  2. Eseguire lo script seguente:

    #Declare variables
$VMName = 'DC1'
$Switch = 'External'
$InstallMedia = 'D:\ISO\en_windows_server_2016_updated_feb_2018_x64_dvd_11636692.iso'
$Path = 'D:\VM'
$VHDPath = 'D:\VM\DC1\DC1.vhdx'
$VHDSize = '64424509440'

#Create a new virtual machine
New-VM -Name $VMName -MemoryStartupBytes 16GB -BootDevice VHD -Path $Path -NewVHDPath $VHDPath -NewVHDSizeBytes $VHDSize  -Generation 2 -Switch $Switch  

#Set the memory to be non-dynamic
Set-VMMemory $VMName -DynamicMemoryEnabled $false

#Add a DVD drive to the virtual machine
Add-VMDvdDrive -VMName $VMName -ControllerNumber 0 -ControllerLocation 1 -Path $InstallMedia

#Mount installation media
$DVDDrive = Get-VMDvdDrive -VMName $VMName

#Configure the virtual machine to boot from the DVD
Set-VMFirmware -VMName $VMName -FirstBootDevice $DVDDrive

Installare il sistema operativo

Per completare la creazione della macchina virtuale, installare il sistema operativo:

  1. In Hyper-V Manager fare doppio clic sulla macchina virtuale.
  2. Selezionare Inizio.
  3. Al prompt premere un tasto qualsiasi per l'avvio da CD o DVD.
  4. Nella schermata di avvio di Windows Server selezionare la lingua e quindi selezionare Avanti.
  5. Selezionare Installa ora.
  6. Immettere il codice di licenza e selezionare Avanti.
  7. Selezionare la casella di controllo Accetto le condizioni di licenza e quindi Avanti.
  8. Selezionare Personalizzata: installa solo Windows (opzione avanzata).
  9. Selezionare Avanti.
  10. Al termine dell'installazione, riavviare la macchina virtuale. Accedere e quindi controllare Windows Update. Installare tutti gli aggiornamenti per assicurarsi che la macchina virtuale sia completamente aggiornata.

Installare i prerequisiti di Windows Server AD

Prima di installare Windows Server AD, eseguire uno script che installa i prerequisiti:

  1. Aprire Windows PowerShell ISE come amministratore.

  2. Eseguire Set-ExecutionPolicy remotesigned. Nella finestra di dialogo Modifica ai criteri di esecuzione selezionare Sì a tutti.

  3. Eseguire lo script seguente:

    #Declare variables
$ipaddress = "10.0.1.117" 
$ipprefix = "24" 
$ipgw = "10.0.1.1" 
$ipdns = "10.0.1.117"
$ipdns2 = "4.2.2.2" 
$ipif = (Get-NetAdapter).ifIndex 
$featureLogPath = "c:\poshlog\featurelog.txt" 
$newname = "DC1"
$addsTools = "RSAT-AD-Tools" 

#Set a static IP address
New-NetIPAddress -IPAddress $ipaddress -PrefixLength $ipprefix -InterfaceIndex $ipif -DefaultGateway $ipgw 

# Set the DNS servers
Set-DnsClientServerAddress -InterfaceIndex $ipif -ServerAddresses ($ipdns, $ipdns2)

#Rename the computer 
Rename-Computer -NewName $newname -force 

#Install features 
New-Item $featureLogPath -ItemType file -Force 
Add-WindowsFeature $addsTools 
Get-WindowsFeature | Where installed >>$featureLogPath 

#Restart the computer 
Restart-Computer

Creare un ambiente di Active Directory per Windows Server

A questo punto, installare e configurare Active Directory Domain Services per creare l'ambiente:

  1. Aprire Windows PowerShell ISE come amministratore.

  2. Eseguire lo script seguente:

    #Declare variables
$DatabasePath = "c:\windows\NTDS"
$DomainMode = "WinThreshold"
$DomainName = "contoso.com"
$DomainNetBIOSName = "CONTOSO"
$ForestMode = "WinThreshold"
$LogPath = "c:\windows\NTDS"
$SysVolPath = "c:\windows\SYSVOL"
$featureLogPath = "c:\poshlog\featurelog.txt" 
$Password = "Pass1w0rd"
$SecureString = ConvertTo-SecureString $Password -AsPlainText -Force

#Install Active Directory Domain Services, DNS, and Group Policy Management Console 
start-job -Name addFeature -ScriptBlock { 
Add-WindowsFeature -Name "ad-domain-services" -IncludeAllSubFeature -IncludeManagementTools 
Add-WindowsFeature -Name "dns" -IncludeAllSubFeature -IncludeManagementTools 
Add-WindowsFeature -Name "gpmc" -IncludeAllSubFeature -IncludeManagementTools } 
Wait-Job -Name addFeature 
Get-WindowsFeature | Where installed >>$featureLogPath

#Create a new Windows Server AD forest
Install-ADDSForest -CreateDnsDelegation:$false -DatabasePath $DatabasePath -DomainMode $DomainMode -DomainName $DomainName -SafeModeAdministratorPassword $SecureString -DomainNetbiosName $DomainNetBIOSName -ForestMode $ForestMode -InstallDns:$true -LogPath $LogPath -NoRebootOnCompletion:$false -SysvolPath $SysVolPath -Force:$true

Creare un utente di Active Directory per Windows Server

Creare quindi un account utente di test. Creare questo account nell'ambiente Active Directory locale. L'account viene quindi sincronizzato con Microsoft Entra ID.

  1. Aprire Windows PowerShell ISE come amministratore.

  2. Eseguire lo script seguente:

    #Declare variables
$Givenname = "Allie"
$Surname = "McCray"
$Displayname = "Allie McCray"
$Name = "amccray"
$Password = "Pass1w0rd"
$Identity = "CN=ammccray,CN=Users,DC=contoso,DC=com"
$SecureString = ConvertTo-SecureString $Password -AsPlainText -Force

#Create the user
New-ADUser -Name $Name -GivenName $Givenname -Surname $Surname -DisplayName $Displayname -AccountPassword $SecureString

#Set the password to never expire
Set-ADUser -Identity $Identity -PasswordNeverExpires $true -ChangePasswordAtLogon $false -Enabled $true

Creare un tenant di Microsoft Entra

Se non è disponibile, seguire la procedura descritta nell'articolo Creare un nuovo tenant in Microsoft Entra ID per creare un nuovo tenant.

Creare un amministratore delle identità ibride in Microsoft Entra ID

L'attività successiva consiste nel creare un account amministratore delle identità ibride. Questo account viene usato per creare l'account connettore di Microsoft Entra durante l'installazione di Microsoft Entra Connect. L'account connettore di Microsoft Entra viene usato per scrivere informazioni in Microsoft Entra ID.

Per creare un account amministratore delle identità ibride:

  1. Accedi all'Interfaccia di amministrazione di Microsoft Entra.
  2. Passare a Identità>Utenti>Tutti gli utenti
  3. Selezionare Nuovo utente>Creare nuovo utente.
  4. Nel riquadro Crea nuovo utente immettere un valore in Nome visualizzato e Nome dell'entità utente per il nuovo utente. Verrà creato un account amministratore delle identità ibride per il tenant. È possibile visualizzare e copiare la password temporanea.
    1. In Assegnazioni selezionare Aggiungi ruolo e selezionare Amministratore delle identità ibride.
  5. Selezionare quindi Rivedi e crea>Crea.
  6. In una nuova finestra del Web browser accedere a myapps.microsoft.com con l'account amministratore delle identità ibride e la password temporanea.

Scaricare e installare Microsoft Entra Connect

A questo punto è possibile scaricare e installare Microsoft Entra Connect. Dopo l'installazione si userà l'installazione con le impostazioni rapide.

  1. Scaricare Microsoft Entra Connect.

  2. Passare ad AzureADConnect.msi e fare doppio clic per aprire il file di installazione.

  3. Nella schermata di benvenuto selezionare la casella di controllo per accettare le condizioni di licenza e quindi Continua.

  4. In Impostazioni rapide selezionare Usa impostazioni rapide.

  5. In Connetti a Microsoft Entra ID immettere il nome utente e la password dell'account amministratore delle identità ibride per Microsoft Entra ID. Selezionare Avanti.

  6. In Connetti ad Active Directory Domain Services immettere il nome utente e la password di un account amministratore dell'organizzazione. Selezionare Avanti.

  7. In Pronto per la configurazione selezionare Installa.

  8. Al termine dell'installazione, selezionare Esci.

  9. Prima di usare Synchronization Service Manager o l'Editor delle regole di sincronizzazione, disconnettersi e ripetere l'accesso.

Verificare la presenza di utenti nel portale

A questo punto si verificherà che gli utenti nel tenant di Active Directory locale siano sincronizzati e si trovino nel tenant di Microsoft Entra. Il completamento di questa sezione potrebbe richiedere alcune ore.

Per verificare che gli utenti siano sincronizzati:

  1. Accedere all'Interfaccia di amministrazione di Microsoft Entra almeno come Amministratore delle identità ibride.

  2. Passare a Identità>Utenti>Tutti gli utenti

  3. Verificare che i nuovi utenti siano presenti nel tenant.

    Screenshot che mostra la verifica della sincronizzazione degli utenti in Microsoft Entra ID.

Accedere con un account utente per testare la sincronizzazione

Per testare che gli utenti del tenant di Windows Server AD siano sincronizzati con il tenant di Microsoft Entra, accedere come uno degli utenti:

  1. Vai a https://myapps.microsoft.com.

  2. Accedere con uno degli account utente creati nel nuovo tenant.

    Per il nome utente usare il formato user@domain.onmicrosoft.com. Usare la stessa password usata dall'utente per accedere ad Active Directory locale.

La configurazione di un ambiente di gestione delle identità ibride è stata completata. A questo punto è possibile usare questo ambiente a scopo di test o per acquisire familiarità con le funzionalità di Azure.

Passaggi successivi