Condividi tramite

Topologie e scenari supportati dalla sincronizzazione cloud di Microsoft Entra

  • Articolo

Questo articolo descrive varie topologie locali e Microsoft Entra che usano Microsoft Entra Cloud Sync. Questo articolo include solo le configurazioni e gli scenari supportati.

Importante

Microsoft non supporta la modifica o l'uso di Microsoft Entra Cloud Sync al di fuori delle configurazioni e delle azioni documentate in modo formale. Ognuna di queste configurazioni o azioni potrebbe generare uno stato di Microsoft Entra Cloud Sync incoerente o non supportato. Microsoft pertanto non offre il supporto tecnico per distribuzioni di questo tipo.

Per ulteriori informazioni, vedi il video seguente.

Aspetti da considerare per tutti gli scenari e le topologie

Quando si seleziona una soluzione, tenere presenti le informazioni seguenti.

  • Gli utenti e i gruppi devono essere identificati in modo univoco in tutte le foreste.
  • La corrispondenza tra foreste non si verifica con la sincronizzazione cloud.
  • L'ancoraggio di origine per gli oggetti viene scelto automaticamente. Viene usato ms-DS-ConsistencyGuid se presente; in caso contrario, viene usato ObjectGUID.
  • Non è possibile cambiare l'attributo usato per l'ancoraggio di origine.

Topologie supportate da Active Directory a Microsoft Entra ID

Per il provisioning da Active Directory a Microsoft Entra ID sono supportate le topologie seguenti.

Una sola foresta, un solo tenant di Microsoft Entra

Diagramma che mostra la topologia per una singola foresta e un singolo tenant.

La topologia più semplice è costituita da una singola foresta locale, con uno o più domini, e da un singolo tenant di Microsoft Entra. Per un esempio di questo scenario, consultare la Guida: Una singola foresta con un singolo tenant di Microsoft Entra

Più foreste e singolo tenant di Microsoft Entra

Topologia per più foreste e un singolo tenant

Una topologia comune è costituita da più foreste di AD, con uno o più domini, e da un singolo tenant di Microsoft Entra.

Foresta esistente con Microsoft Entra Connect e nuova foresta con provisioning cloud

Diagramma che mostra la topologia per una foresta esistente e una nuova.

Questa topologia di scenario è simile allo scenario a più foreste. Tuttavia, questo comporta un ambiente Microsoft Entra Connect esistente e quindi l'aggiunta di una nuova foresta utilizzando Microsoft Entra Cloud Sync. Per un esempio di questo scenario, vedere Tutorial: An existing forest with a single Microsoft Entra tenant

Sperimentazione pilota di Microsoft Entra Cloud Sync in una foresta di AD ibrida

Topologia per una foresta singola e un tenant singolo

Lo scenario pilota prevede l'esistenza sia di Microsoft Entra Connect che di Microsoft Entra Cloud Sync nella stessa foresta, definendo gli utenti e i gruppi di conseguenza. NOTA: un oggetto può essere incluso nell'ambito di un solo strumento.

Per un esempio di questo scenario, vedere Esercitazione: Test pilota di Microsoft Entra Cloud Sync in una foresta di AD sincronizzata esistente

Unione di oggetti da origini disconnesse

(Anteprima pubblica)

Diagramma per l'unione di oggetti da origini disconnesse

In questo scenario gli attributi di un utente vengono forniti da due foreste di Active Directory disconnesse.

Un esempio sarebbe:

  • Una foresta (1) contiene la maggior parte degli attributi.
  • Una seconda foresta (2) contiene alcuni attributi.

Poiché la seconda foresta non ha connettività di rete al server Microsoft Entra Connect, l'oggetto non può essere unito tramite Microsoft Entra Connect. La sincronizzazione del cloud nella seconda foresta permette di recuperare il valore dell'attributo dalla seconda foresta. Microsoft Entra Connect sincronizza l'oggetto in Microsoft Entra ID, e quindi il valore può essere unito a esso.

Questa configurazione è avanzata ed esistono alcune avvertenze per questa topologia:

  1. È necessario usare ms-DS-ConsistencyGuid come ancoraggio di origine nella configurazione di sincronizzazione cloud.
  2. Il valore ms-DS-ConsistencyGuid dell'oggetto utente nella seconda foresta deve corrispondere a quello dell'oggetto corrispondente in Microsoft Entra ID.
  3. È necessario popolare l'attributo UserPrincipalName e l'attributo Alias nella seconda foresta e devono corrispondere a quelli sincronizzati dalla prima foresta.
  4. Nella configurazione di sincronizzazione cloud è necessario rimuovere dal mapping degli attributi tutti gli attributi che non hanno un valore o che possono avere un valore diverso nella seconda foresta; non è possibile avere mapping degli attributi sovrapposti tra la prima e la seconda foresta.
  5. Se nella prima foresta non è presente alcun oggetto corrispondente, per un oggetto sincronizzato dalla seconda foresta, la sincronizzazione cloud crea comunque l'oggetto in Microsoft Entra ID. Soltanto gli attributi definiti nella configurazione di mapping per la sincronizzazione del cloud della seconda foresta appartengono all'oggetto.
  6. Se si elimina l'oggetto dalla seconda foresta, viene eliminato temporaneamente in Microsoft Entra ID. Viene ripristinato automaticamente dopo il successivo ciclo di sincronizzazione di Microsoft Entra Connect.
  7. Se si elimina l'oggetto dalla prima foresta, viene eliminato temporaneamente da Microsoft Entra ID. L'oggetto non verrà ripristinato a meno che non sia modificato nella seconda foresta. Dopo 30 giorni, l'oggetto viene eliminato definitivamente dall'ID Microsoft Entra. Se viene apportata una modifica all'oggetto nella seconda foresta, viene creata come nuovo oggetto in Microsoft Entra ID.

Topologie supportate da Microsoft Entra ID per Active Directory

Per il provisioning da Microsoft Entra ID ad Active Directory sono supportate le topologie seguenti.

Provisioning di gruppi a singola foresta in Active Directory

Diagramma concettuale del writeback a singola foresta.

La topologia più semplice del provisioning di gruppi è costituita da una singola foresta locale, con uno o più domini, e da un singolo tenant di Microsoft Entra. Per un esempio di questo scenario, vedere Effettuare il provisioning di gruppi in Active Directory

Provisioning di gruppi a più foreste in Active Directory

Diagramma concettuale del writeback a più foreste.

Una topologia più avanzata di provisioning dei gruppi è costituita da più foreste di Active Directory locali che condividono un singolo tenant di Microsoft Entra ID.

Questa configurazione è avanzata ed esistono alcuni aspetti da considerare per questa topologia:

  • I gruppi di cui è stato effettuato il provisioning in Active Directory tramite la sincronizzazione cloud possono contenere solo utenti sincronizzati locali e/o altri gruppi di sicurezza creati nel cloud.
  • Tutti questi utenti devono avere l'attributo onPremisesObjectIdentifier impostato sul relativo account.
  • L'attributo onPremisesObjectIdentifier deve corrispondere a un objectGUID corrispondente nell'ambiente di Active Directory di destinazione.
  • Un attributo objectGUID degli utenti locali può essere sincronizzato con un attributo onPremisesObjectIdentifier degli utenti cloud usando Microsoft Entra Cloud Sync (1.1.1370.0) o Microsoft Entra Connect Sync (2.2.8.0)
  • All'interno del tenant è possibile condividere un gruppo comune che contiene utenti di entrambe le foreste.
  • Tuttavia, gli utenti che non esistono nell'altra foresta, non vengono provisionati come membri del gruppo quando viene provisionato localmente. Pertanto, se si dispone di un gruppo in MICROSOFT Entra ID che contiene utenti di contoso.com e fabrikam.com, solo gli utenti presenti nella foresta contoso.com sono membri del gruppo quando ne viene effettuato il provisioning in contoso.com. Lo stesso vale con fabrikam.

Passaggi successivi