Condividi tramite

Effettuare il provisioning di Active Directory in Microsoft Entra ID - Configurazione

  • Articolo

Il documento seguente illustra come configurare Microsoft Entra Cloud Sync per il provisioning da Active Directory a Microsoft Entra ID. Per informazioni sul provisioning da AD a Microsoft Entra ID, vedere Configure - Provisioning di Active Directory in Microsoft Entra ID utilizzando Microsoft Entra Cloud Sync

La documentazione seguente illustra la nuova esperienza utente guidata per Microsoft Entra Cloud Sync.

Per altre informazioni e un esempio di come configurare la sincronizzazione cloud, vedere il video seguente.

Configurare il provisioning

Per configurare il provisioning, seguire questa procedura.

  1. Accedi come almeno un amministratore ibridoal centro di amministrazione di Microsoft Entra.
  2. Navigare fino a Identity>Gestione ibrida>Microsoft Entra Connect>Cloud sync. Screenshot della home page di sincronizzazione cloud.
  1. Selezionare Nuova configurazione.
  2. Selezionare AD a Microsoft Entra ID sync. Screenshot per aggiungere una configurazione.
  3. Nella schermata di configurazione selezionare il dominio e se abilitare la sincronizzazione dell'hash delle password. Fare clic su Crea.

Screenshot di una nuova configurazione.

  1. Verrà aperta la schermata Per iniziare. Da qui è possibile continuare a configurare la sincronizzazione cloud.

Screenshot della schermata introduttiva.

  1. La configurazione viene suddivisa nelle 5 sezioni seguenti.
Sezione Descrizione
1. Aggiungere filtri di ambito Usare questa sezione per definire gli oggetti visualizzati in Microsoft Entra ID
2. Eseguire il mapping degli attributi Usare questa sezione per eseguire il mapping degli attributi tra utenti/gruppi locali con gli oggetti Microsoft Entra
3. Test Testare la configurazione prima di distribuirla
4. Visualizzare proprietà predefinite Visualizzare l'impostazione predefinita prima di abilitarle e apportare modifiche dove appropriato
Abilita la configurazione Una volta pronta, abilitare la configurazione e utenti/gruppi inizieranno la sincronizzazione.

Nota

Durante il processo di configurazione, l'account del servizio di sincronizzazione verrà creato con il formato ADToAADSyncServiceAccount@[TenantID].onmicrosoft.com ed è possibile che venga visualizzato un errore se l'autenticazione a più fattori è abilitata per l'account del servizio di sincronizzazione o altri criteri di autenticazione interattiva vengono abilitati accidentalmente per l'account di sincronizzazione. La rimozione dell'autenticazione a più fattori o dei criteri di autenticazione interattiva per l'account del servizio di sincronizzazione deve risolvere l'errore ed è possibile completare la configurazione senza problemi.

Ambito del provisioning per utenti e gruppi specifici.

Per impostazione predefinita, l'agente di provisioning sincronizza un subset di utenti e gruppi da Active Directory. È possibile definire ulteriormente l'ambito dell'agente per sincronizzare utenti e gruppi specifici usando gruppi di Active Directory locali o unità organizzative.

Screenshot dell'icona dei filtri di ambito.

È possibile configurare gruppi e unità organizzative all'interno di una configurazione.

Nota

Non è possibile usare gruppi annidati con ambito di gruppo. Gli oggetti annidati oltre il primo livello non verranno inclusi quando si definisce l'ambito con i gruppi di sicurezza. Usare solo il filtro dell'ambito del gruppo per gli scenari pilota, in quanto esistono limitazioni per la sincronizzazione di gruppi di grandi dimensioni.

  1. Nella schermata di introduzione della configurazione. Fare clic su Aggiungi filtri di ambito accanto all'icona Aggiungi filtri di ambito oppure su Filtri di ambito a sinistra sotto Gestisci.

Screenshot dei filtri di ambito.

  1. Selezionare il filtro di ambito. Il filtro può essere uno dei seguenti:
    • Tutti gli utenti: definisce l'ambito della configurazione da applicare a tutti gli utenti sincronizzati.
    • Gruppi di sicurezza selezionati: definisce l'ambito della configurazione da applicare a gruppi di sicurezza specifici.
    • Unità organizzative selezionate: definisce l'ambito della configurazione da applicare a unità organizzative specifiche.
  2. Per i gruppi di sicurezza e le unità organizzative, specificare il nome distinto appropriato e fare clic su Aggiungi.
  3. Dopo aver configurato i filtri di ambito, fare clic su Salva.
  4. Dopo il salvataggio, verrà visualizzato un messaggio che indica cosa è ancora necessario fare per configurare la sincronizzazione cloud. È possibile fare clic sul collegamento per continuare. Screenshot dell'indicazione per i filtri di ambito.
  5. Dopo aver modificato l'ambito, dovresti riavviare il provisioning per avviare immediatamente la sincronizzazione delle modifiche.

Mapping degli attributi

Microsoft Entra Cloud Sync consente di eseguire facilmente il mapping degli attributi tra gli oggetti utente/gruppo locali e gli oggetti in Microsoft Entra ID.

Screenshot dell'icona degli attributi della mappa.

È possibile personalizzare i mapping di attributi predefiniti in base alle esigenze aziendali. È quindi possibile modificare o eliminare mapping di attributi esistenti o creare nuovi mapping di attributi.

Screenshot della mappatura degli attributi predefiniti.

Dopo il salvataggio, verrà visualizzato un messaggio che indica cosa è ancora necessario fare per configurare la sincronizzazione cloud. È possibile fare clic sul collegamento per continuare. Screenshot del richiamo per i filtri degli attributi.

Per ulteriori informazioni, vedere la mappatura degli attributi .

Estensioni della directory e mappatura di attributi personalizzati.

Microsoft Entra Cloud Sync consente di estendere la directory con estensioni e fornisce il mapping degli attributi personalizzato. Per altre informazioni, vedere estensioni della directory e mapping di attributi personalizzati.

Provisioning su richiesta

Microsoft Entra Cloud Sync consente di testare le modifiche di configurazione applicando queste modifiche a un singolo utente o gruppo.

Screenshot dell'icona del test.

È possibile usarlo per convalidare e verificare che le modifiche apportate alla configurazione siano state applicate correttamente e siano sincronizzate correttamente con Microsoft Entra ID.

Screenshot del provisioning su richiesta.

Dopo il test, verrà visualizzato un messaggio che indica cosa è ancora necessario fare per configurare la sincronizzazione cloud. È possibile fare clic sul collegamento per continuare. Screenshot del nudge per il test.

Per altre informazioni, vedere fornitura su richiesta.

Eliminazioni accidentali e notifiche tramite posta elettronica

La sezione delle proprietà predefinite fornisce informazioni sulle eliminazioni accidentali e le notifiche tramite posta elettronica.

Screenshot dell'icona delle proprietà predefinite.

La funzionalità di eliminazione accidentale è progettata per proteggere l'utente da modifiche accidentali alla configurazione e alle modifiche apportate alla directory locale che influirebbero su molti utenti e gruppi.

Questa funzionalità consente di:

  • configurare la possibilità di impedire eliminazioni accidentali automaticamente.
  • Impostare il numero di oggetti (soglia) oltre il quale la configurazione avrà effetto
  • configurare un indirizzo di posta elettronica di notifica in modo che possano ricevere una notifica tramite posta elettronica dopo che il processo di sincronizzazione in questione viene messo in quarantena per questo scenario

Per altre informazioni, vedere Eliminazioni accidentali

Fare clic sulla matita accanto a Informazioni di base per modificare le impostazioni predefinite in una configurazione.

Screenshot delle nozioni di base.

Abilitare la configurazione

Dopo aver finalizzato e testato la configurazione, è possibile abilitarla.

Screenshot dell'icona di revisione e abilitazione.

Fare clic su Abilita configurazione per abilitarla.

Screenshot di una configurazione abilitata.

Quarantena

La sincronizzazione cloud monitora l'integrità della configurazione e inserisce oggetti non integri in uno stato di quarantena. Se la maggior parte o tutte le chiamate effettuate sul sistema di destinazione hanno esito negativo in modo coerente a causa di un errore, ad esempio credenziali di amministratore non valide, il processo di sincronizzazione viene contrassegnato come in quarantena. Per ulteriori informazioni, vedere la sezione di risoluzione dei problemi quarantene.

Riavviare il provisioning

Se non vuoi attendere la prossima esecuzione pianificata, avvia il provisioning usando il pulsante Riavvia sincronizzazione.

  1. Accedi all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore ibrido.
  2. Naviga su Identity>Gestione ibrida>Microsoft Entra Connect>Cloud sync. Screenshot della home page della sincronizzazione cloud.
  1. In Configurazioneselezionare la configurazione.

Screenshot del riavvio della sincronizzazione.

  1. Nella parte superiore selezionare Riavvia sincronizzazione.

Rimuovere una configurazione

Per eliminare una configurazione, seguire questa procedura.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un Amministratore Ibrido .
  2. Passare a Identity>Gestione ibrida>Microsoft Entra Connect>Cloud sync. Screenshot della home page della sincronizzazione cloud.
  1. In Configurazioneselezionare la configurazione.

Screenshot dell'eliminazione.

  1. Nella parte superiore della schermata di configurazione selezionare Elimina configurazione.

Importante

Non viene visualizzata alcuna conferma prima di eliminare una configurazione. Assicurarsi che questa sia l'azione che si vuole eseguire prima di selezionare Elimina.

Passaggi successivi