Effettuare il provisioning di Active Directory in Microsoft Entra ID - Configurazione
Il documento seguente illustra come configurare Microsoft Entra Cloud Sync per il provisioning da Active Directory a Microsoft Entra ID. Per informazioni sul provisioning da AD a Microsoft Entra ID, vedere Configure - Provisioning di Active Directory in Microsoft Entra ID utilizzando Microsoft Entra Cloud Sync
La documentazione seguente illustra la nuova esperienza utente guidata per Microsoft Entra Cloud Sync.
Per altre informazioni e un esempio di come configurare la sincronizzazione cloud, vedere il video seguente.
Configurare il provisioning
Per configurare il provisioning, seguire questa procedura.
- Accedi come almeno un amministratore ibridoal centro di amministrazione di Microsoft Entra.
- Navigare fino a Identity>Gestione ibrida>Microsoft Entra Connect>Cloud sync.
- Selezionare Nuova configurazione.
- Selezionare AD a Microsoft Entra ID sync.
- Nella schermata di configurazione selezionare il dominio e se abilitare la sincronizzazione dell'hash delle password. Fare clic su Crea.
- Verrà aperta la schermata Per iniziare. Da qui è possibile continuare a configurare la sincronizzazione cloud.
- La configurazione viene suddivisa nelle 5 sezioni seguenti.
Sezione | Descrizione |
---|---|
1. Aggiungere filtri di ambito | Usare questa sezione per definire gli oggetti visualizzati in Microsoft Entra ID |
2. Eseguire il mapping degli attributi | Usare questa sezione per eseguire il mapping degli attributi tra utenti/gruppi locali con gli oggetti Microsoft Entra |
3. Test | Testare la configurazione prima di distribuirla |
4. Visualizzare proprietà predefinite | Visualizzare l'impostazione predefinita prima di abilitarle e apportare modifiche dove appropriato |
Abilita la configurazione | Una volta pronta, abilitare la configurazione e utenti/gruppi inizieranno la sincronizzazione. |
Nota
Durante il processo di configurazione, l'account del servizio di sincronizzazione verrà creato con il formato ADToAADSyncServiceAccount@[TenantID].onmicrosoft.com ed è possibile che venga visualizzato un errore se l'autenticazione a più fattori è abilitata per l'account del servizio di sincronizzazione o altri criteri di autenticazione interattiva vengono abilitati accidentalmente per l'account di sincronizzazione. La rimozione dell'autenticazione a più fattori o dei criteri di autenticazione interattiva per l'account del servizio di sincronizzazione deve risolvere l'errore ed è possibile completare la configurazione senza problemi.
Ambito del provisioning per utenti e gruppi specifici.
Per impostazione predefinita, l'agente di provisioning sincronizza un subset di utenti e gruppi da Active Directory. È possibile definire ulteriormente l'ambito dell'agente per sincronizzare utenti e gruppi specifici usando gruppi di Active Directory locali o unità organizzative.
È possibile configurare gruppi e unità organizzative all'interno di una configurazione.
Nota
Non è possibile usare gruppi annidati con ambito di gruppo. Gli oggetti annidati oltre il primo livello non verranno inclusi quando si definisce l'ambito con i gruppi di sicurezza. Usare solo il filtro dell'ambito del gruppo per gli scenari pilota, in quanto esistono limitazioni per la sincronizzazione di gruppi di grandi dimensioni.
- Nella schermata di introduzione della configurazione. Fare clic su Aggiungi filtri di ambito accanto all'icona Aggiungi filtri di ambito oppure su Filtri di ambito a sinistra sotto Gestisci.
- Selezionare il filtro di ambito. Il filtro può essere uno dei seguenti:
- Tutti gli utenti: definisce l'ambito della configurazione da applicare a tutti gli utenti sincronizzati.
- Gruppi di sicurezza selezionati: definisce l'ambito della configurazione da applicare a gruppi di sicurezza specifici.
- Unità organizzative selezionate: definisce l'ambito della configurazione da applicare a unità organizzative specifiche.
- Per i gruppi di sicurezza e le unità organizzative, specificare il nome distinto appropriato e fare clic su Aggiungi.
- Dopo aver configurato i filtri di ambito, fare clic su Salva.
- Dopo il salvataggio, verrà visualizzato un messaggio che indica cosa è ancora necessario fare per configurare la sincronizzazione cloud. È possibile fare clic sul collegamento per continuare.
- Dopo aver modificato l'ambito, dovresti riavviare il provisioning per avviare immediatamente la sincronizzazione delle modifiche.
Mapping degli attributi
Microsoft Entra Cloud Sync consente di eseguire facilmente il mapping degli attributi tra gli oggetti utente/gruppo locali e gli oggetti in Microsoft Entra ID.
È possibile personalizzare i mapping di attributi predefiniti in base alle esigenze aziendali. È quindi possibile modificare o eliminare mapping di attributi esistenti o creare nuovi mapping di attributi.
Dopo il salvataggio, verrà visualizzato un messaggio che indica cosa è ancora necessario fare per configurare la sincronizzazione cloud. È possibile fare clic sul collegamento per continuare.
Per ulteriori informazioni, vedere la mappatura degli attributi .
Estensioni della directory e mappatura di attributi personalizzati.
Microsoft Entra Cloud Sync consente di estendere la directory con estensioni e fornisce il mapping degli attributi personalizzato. Per altre informazioni, vedere estensioni della directory e mapping di attributi personalizzati.
Provisioning su richiesta
Microsoft Entra Cloud Sync consente di testare le modifiche di configurazione applicando queste modifiche a un singolo utente o gruppo.
È possibile usarlo per convalidare e verificare che le modifiche apportate alla configurazione siano state applicate correttamente e siano sincronizzate correttamente con Microsoft Entra ID.
Dopo il test, verrà visualizzato un messaggio che indica cosa è ancora necessario fare per configurare la sincronizzazione cloud. È possibile fare clic sul collegamento per continuare.
Per altre informazioni, vedere fornitura su richiesta.
Eliminazioni accidentali e notifiche tramite posta elettronica
La sezione delle proprietà predefinite fornisce informazioni sulle eliminazioni accidentali e le notifiche tramite posta elettronica.
La funzionalità di eliminazione accidentale è progettata per proteggere l'utente da modifiche accidentali alla configurazione e alle modifiche apportate alla directory locale che influirebbero su molti utenti e gruppi.
Questa funzionalità consente di:
- configurare la possibilità di impedire eliminazioni accidentali automaticamente.
- Impostare il numero di oggetti (soglia) oltre il quale la configurazione avrà effetto
- configurare un indirizzo di posta elettronica di notifica in modo che possano ricevere una notifica tramite posta elettronica dopo che il processo di sincronizzazione in questione viene messo in quarantena per questo scenario
Per altre informazioni, vedere Eliminazioni accidentali
Fare clic sulla matita accanto a Informazioni di base per modificare le impostazioni predefinite in una configurazione.
Abilitare la configurazione
Dopo aver finalizzato e testato la configurazione, è possibile abilitarla.
Fare clic su Abilita configurazione per abilitarla.
Quarantena
La sincronizzazione cloud monitora l'integrità della configurazione e inserisce oggetti non integri in uno stato di quarantena. Se la maggior parte o tutte le chiamate effettuate sul sistema di destinazione hanno esito negativo in modo coerente a causa di un errore, ad esempio credenziali di amministratore non valide, il processo di sincronizzazione viene contrassegnato come in quarantena. Per ulteriori informazioni, vedere la sezione di risoluzione dei problemi quarantene.
Riavviare il provisioning
Se non vuoi attendere la prossima esecuzione pianificata, avvia il provisioning usando il pulsante Riavvia sincronizzazione.
- Accedi all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore ibrido.
- Naviga su Identity>Gestione ibrida>Microsoft Entra Connect>Cloud sync.
- In Configurazioneselezionare la configurazione.
- Nella parte superiore selezionare Riavvia sincronizzazione.
Rimuovere una configurazione
Per eliminare una configurazione, seguire questa procedura.
- Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un Amministratore Ibrido .
- Passare a Identity>Gestione ibrida>Microsoft Entra Connect>Cloud sync.
- In Configurazioneselezionare la configurazione.
- Nella parte superiore della schermata di configurazione selezionare Elimina configurazione.
Importante
Non viene visualizzata alcuna conferma prima di eliminare una configurazione. Assicurarsi che questa sia l'azione che si vuole eseguire prima di selezionare Elimina.