Configurare l'unione ibrida di Microsoft Entra

Portare i tuoi dispositivi a Microsoft Entra ID massimizza la produttività degli utenti attraverso l'accesso Single Sign-On (SSO) su risorse cloud e locali. È possibile proteggere l'accesso alle risorse con l'accesso condizionale contemporaneamente.

Prerequisiti

• Microsoft Entra Connect versione 1.1.819.0 o successiva.
  • Non escludere gli attributi predefiniti del dispositivo dalla configurazione di Microsoft Entra Connect Sync. Per altre informazioni sugli attributi di dispositivo predefiniti sincronizzati con Microsoft Entra ID, vedere Attributi sincronizzati da Microsoft Entra Connect.
  • Se gli oggetti computer dei dispositivi che vuoi siano aggiunti in modalità ibrida a Microsoft Entra appartengono a unità organizzative specifiche, configura le unità organizzative corrette per la sincronizzazione in Microsoft Entra Connect. Per altre informazioni su come sincronizzare gli oggetti computer tramite Microsoft Entra Connect, vedere Filtro basato su unità organizzative.
• Credenziali dell'amministratore dell'identità ibrida per il tenant di Microsoft Entra.
• Credenziali di amministratore dell'organizzazione per ciascuna delle foreste Active Directory Domain Services locali.
• (Per i domini federati) Installato almeno Windows Server 2012 R2 con Active Directory Federation Services.
• Gli utenti possono registrare i propri dispositivi con Microsoft Entra ID. Altre informazioni su questa impostazione sono disponibili nell'intestazione Configurare le impostazioni del dispositivo, nell'articolo Configurare le impostazioni del dispositivo.

Requisiti di rete e connettività

L'unione ibrida di Microsoft Entra richiede che i dispositivi abbiano accesso alle seguenti risorse Microsoft dalla rete dell'organizzazione:

• https://enterpriseregistration.windows.net
• https://login.microsoftonline.com
• https://device.login.microsoftonline.com
• https://autologon.microsoftazuread-sso.com (se si usa o si prevede di usare Seamless SSO)
• Servizio token di sicurezza dell'organizzazione (STS) (per i domini federati)

Avviso

Se l'organizzazione utilizza server proxy che intercettano il traffico SSL per scenari come la prevenzione della perdita di dati o le restrizioni del tenant di Microsoft Entra, assicurarsi che il traffico verso https://device.login.microsoftonline.com e https://enterpriseregistration.windows.net sia escluso dall'interruzione e ispezione TLS. L'impossibilità di escludere questi URL potrebbe causare interferenze con l'autenticazione del certificato client, causare problemi con la registrazione del dispositivo e l'accesso condizionale basato su dispositivo.

Se l'organizzazione richiede l'accesso a Internet tramite un proxy in uscita, è possibile usare Web Proxy Auto-Discovery (WPAD) per abilitare i computer Windows 10 o versioni successive per la registrazione dei dispositivi con Microsoft Entra ID. Per risolvere i problemi durante la configurazione e la gestione di WPAD, vedere Risoluzione dei problemi relativi al rilevamento automatico.

Se non si usa WPAD, è possibile configurare le impostazioni proxy WinHTTP nel computer con un oggetto Criteri di gruppo a partire da Windows 10 1709. Per altre informazioni, vedere Impostazioni del proxy WinHTTP distribuite dal GPO (oggetto Criteri di gruppo).

Nota

Se si configurano le impostazioni proxy nel computer usando le impostazioni WinHTTP, i computer che non possono connettersi al proxy configurato non riusciranno a connettersi a Internet.

Se l'organizzazione richiede l'accesso a Internet tramite un proxy in uscita autenticato, assicurarsi che i computer Windows 10 o versioni successive possano eseguire correttamente l'autenticazione al proxy in uscita. Dato che i computer con Windows 10 o versioni successive eseguono la registrazione del dispositivo nel contesto della macchina, configurare l'autenticazione proxy in uscita nel contesto della macchina. Per i requisiti di configurazione, contattare il provider del proxy in uscita.

Verificare che i dispositivi possano accedere alle risorse Microsoft necessarie sotto l'account di sistema utilizzando lo script Test Device Registration Connectivity.

Domini gestiti

La maggior parte delle organizzazioni distribuisce Microsoft Entra hybrid join con domini gestiti. I domini gestiti usano la sincronizzazione dell'hash delle password (PHS) o l'autenticazione pass-through (PTA) con accesso Single Sign-On facile. Gli scenari di dominio gestito non richiedono la configurazione di un server federativo.

Configurare il join ibrido di Microsoft Entra usando Microsoft Entra Connect per un dominio gestito:

1. Aprire Microsoft Entra Connect e quindi selezionare Configura.

2. In Attività aggiuntive selezionare Configura le opzioni del dispositivo e quindi Avanti.

3. In Panoramica selezionare Avanti.

4. In Collegarsi a Microsoft Entra ID, immettere le credenziali di un Amministratore di identità ibrida per il tenant di Microsoft Entra.

5. In Opzioni dispositivo selezionare Configure Microsoft Entra hybrid join (Configura join ibrido di Microsoft Entra) e quindi selezionare Next (Avanti).

6. In Sistemi operativi del dispositivo selezionare i sistemi operativi usati dai dispositivi nell'ambiente Active Directory e quindi selezionare Avanti.

7. Nella configurazione di SCP, per ogni foresta in cui si vuole che Microsoft Entra Connect configuri un punto di connessione del servizio (SCP), completare i passaggi seguenti e quindi selezionare Avanti.

   1. Selezionare la Foresta.
   2. Selezionare Servizio di autenticazione.
   3. Selezionare Aggiungi per immettere le credenziali di amministratore aziendale.

   

8. In Pronto per la configurazione selezionare Configura.

9. In La configurazione è stata completata selezionare Esci.

Domini federati

Un ambiente federato deve includere un provider di identità che supporta i requisiti riportati di seguito. Se l'ambiente federato usa Active Directory Federation Services (AD FS), i requisiti seguenti sono già supportati.

• WS-Trust protocollo: Questo protocollo è necessario per verificare l'identità dei dispositivi connessi in modalità ibrida a Microsoft Entra con Microsoft Entra ID. Quando si usa AD FS, è necessario abilitare gli endpoint WS-Trust seguenti:
  • /adfs/services/trust/2005/windowstransport
  • /adfs/services/trust/13/windowstransport
  • /adfs/services/trust/2005/usernamemixed
  • /adfs/services/trust/13/usernamemixed
  • /adfs/services/trust/2005/certificatemixed
  • /adfs/services/trust/13/certificatemixed

Avviso

Sia adfs/services/trust/2005/windowstransport che adfs/services/trust/13/windowstransport devono essere abilitati solo come endpoint per Intranet e NON devono essere esposti come endpoint per Extranet tramite Proxy applicazione Web. Per altre informazioni su come disabilitare gli endpoint Windows WS-Trust, vedere Disabilitare gli endpoint Windows WS-Trust sul proxy. È possibile verificare gli endpoint abilitati nella console di gestione di AD FS, in Servizio>Endpoint.

Configurare il ricongiungimento ibrido a Microsoft Entra usando Microsoft Entra Connect per un ambiente federato:

1. Aprire Microsoft Entra Connect e quindi selezionare Configura.

2. Nella pagina Attività aggiuntive selezionare Configura le opzioni del dispositivo e quindi Avanti.

3. Nella pagina Panoramica selezionare Avanti.

4. Nella pagina Connetti a Microsoft Entra ID immettere le credenziali di un amministratore di identità ibrida per il tenant di Microsoft Entra e quindi selezionare Avanti.

5. Nella pagina Opzioni dispositivo selezionare Configura aggiunta ibrida a Microsoft Entra e quindi selezionare Avanti.

6. Nella pagina SCP completare i passaggi seguenti e quindi selezionare Avanti:

   1. Selezionare la foresta.
   2. Selezionare il servizio di autenticazione. È necessario selezionare il server AD FS a meno che l'organizzazione non disponga esclusivamente di client Windows 10 o più recenti e configuri la sincronizzazione computer/dispositivo, oppure l'organizzazione utilizzi l'accesso SSO senza interruzioni.
   3. Selezionare Aggiungi per immettere le credenziali di amministratore aziendale.

   

7. Nella pagina Sistemi operativi del dispositivo selezionare i sistemi operativi usati dai dispositivi nell'ambiente Active Directory e quindi selezionare Avanti.

8. Nella pagina Configurazione della federazione immettere le credenziali di amministratore AD FS e quindi selezionare Avanti.

9. Nella pagina Pronto per la configurazione selezionare Configura.

10. Nella pagina La configurazione è stata completata selezionare Esci.

Avvertenze della federazione

Con Windows 10 1803 o versione successiva, se l'unione ibrida istantanea di Microsoft Entra per un ambiente federato utilizzando il servizio di federazione ha esito negativo, si utilizza Microsoft Entra Connect per sincronizzare l'oggetto computer in Microsoft Entra ID, completando così la registrazione del dispositivo per l'unione ibrida in Microsoft Entra.

Altri scenari

Le organizzazioni possono testare l'aggiunta ibrida di Microsoft Entra su un sottoinsieme del proprio ambiente prima di una distribuzione completa. I passaggi per completare una distribuzione mirata sono disponibili nell'articolo Distribuzione mirata di aggiunta ibrida con Microsoft Entra. Le organizzazioni devono includere un esempio di utenti di ruoli e profili diversi in questo gruppo pilota. Un'implementazione mirata consente di identificare eventuali problemi che il piano potrebbe non risolvere prima di abilitare per l'intera organizzazione.

Alcune organizzazioni potrebbero non essere in grado di usare Microsoft Entra Connect per configurare AD FS. La procedura per configurare manualmente i reclami è disponibile nell'articolo Configura l'aggiunta ibrida a Microsoft Entra manualmente.

Cloud del Governo degli Stati Uniti (inclusivo di GCCHigh e DoD)

Per le organizzazioni in Azure per enti pubblici, l'aggiunta ibrida a Microsoft Entra richiede che i dispositivi abbiano accesso alle risorse Microsoft seguenti dall'interno della rete dell'organizzazione:

• https://enterpriseregistration.windows.net ehttps://enterpriseregistration.microsoftonline.us
• https://login.microsoftonline.us
• https://device.login.microsoftonline.us
• https://autologon.microsoft.us (se si usa o si prevede di usare Seamless SSO)

Risolvere i problemi relativi all'aggiunta ibrida a Microsoft Entra

Se si verificano problemi nel completare il join ibrido di Microsoft Entra per i dispositivi Windows uniti al dominio, consultare:

• Risoluzione dei problemi dei dispositivi con il comando dsregcmd
• Risoluzione dei problemi relativi all'aggiunta ibrida di Microsoft Entra per i correnti dispositivi Windows
• Risoluzione dei problemi del join ibrido di Microsoft Entra per i dispositivi Windows di livello inferiore
• Risolvere i problemi relativi allo stato dei dispositivi in sospeso

Contenuto correlato

• Verifica del join ibrido di Microsoft Entra
• Usare l'accesso condizionale per richiedere un dispositivo aggiunto ibrido o conforme a Microsoft Entra
• Pianificare una distribuzione di Windows Hello for Business