Condividi tramite

Integrare una foresta esistente e una nuova con un singolo tenant di Microsoft Entra

  • Articolo

Questa esercitazione illustra come aggiungere la sincronizzazione cloud in un ambiente ibrido di gestione delle identità esistenti.

Diagramma che mostra il flusso di Sincronizzazione cloud di Microsoft Entra.

È possibile usare l'ambiente creato in questa esercitazione a scopo di test per acquisire una maggiore familiarità con il funzionamento di una soluzione ibrida di gestione delle identità.

In questo scenario è presente una foresta esistente sincronizzata tramite Microsoft Entra Connect Sync con un tenant di Microsoft Entra. Hai una nuova foresta che vuoi sincronizzare con lo stesso tenant di Microsoft Entra. Si configurerà la sincronizzazione cloud per la nuova foresta.

Prerequisiti

Nell'interfaccia di amministrazione di Microsoft Entra

  1. Creare un account amministratore delle identità ibride di tipo solo cloud nel tenant di Microsoft Entra. In questo modo è possibile gestire la configurazione del tenant in caso di errore o mancata disponibilità dei servizi locali. Scopri come aggiungere un account amministratore di identità ibrida esclusivamente cloud. Completare questo passaggio è fondamentale per evitare di rimanere bloccati fuori dal tenant.
  2. Aggiungere uno o più nomi di dominio personalizzati al tenant di Microsoft Entra. Gli utenti possono accedere usando uno di questi nomi di dominio.

Nell'ambiente locale

  1. Identificare un server host aggiunto a un dominio che esegue Windows Server 2012 R2 o versione successiva con almeno 4 GB di RAM e il runtime di .NET 4.7.1 o versione successiva

  2. Se è presente un firewall tra i server e Microsoft Entra ID, configurare gli elementi seguenti:

    • Assicurarsi che gli agenti possano effettuare richieste in uscita in Microsoft Entra ID sulle porte seguenti:

      Numero di porta Modalità di utilizzo
      80 Scarica gli elenchi di revoche di certificati (CRL) durante la convalida del certificato TLS/SSL
      443 Gestisce tutte le comunicazioni in uscita con il servizio
      8080 (facoltativo) Se la porta 443 non è disponibile, gli agenti di autenticazione segnalano il proprio stato ogni dieci minuti attraverso la porta 8080. Lo stato viene visualizzato nel portale.

      Se il firewall applica regole in base agli utenti di origine, aprire queste porte per il traffico proveniente da servizi di Windows in esecuzione come servizi di rete.

    • Se il firewall o il proxy consente di specificare suffissi sicuri, aggiungere connessioni a .msappproxy.net e .servicebus.windows.net. In caso contrario, è necessario consentire l'accesso agli intervalli IP del data center di Azure, che vengono aggiornati ogni settimana.

    • Gli agenti devono poter accedere a login.windows.net e login.microsoftonline.net per la registrazione iniziale. Aprire il firewall anche per questi URL.

    • Per la convalida del certificato, sbloccare questi URL: mscrl.microsoft.com:80, crl.microsoft.com:80, ocsp.msocsp.com:80 e www.microsoft.com:80. Poiché vengono usati per la convalida del certificato con altri prodotti Microsoft, questi URL potrebbero essere già sbloccati.

Installare l'agente di provisioning di Microsoft Entra

Se stai utilizzando l'esercitazione di Basic AD e ambiente Azure, esso sarà DC1. Per installare l'agente, seguire questa procedura:

  1. Nel portale di Azure selezionare Microsoft Entra ID.

  2. Nel riquadro sinistro selezionare Microsoft Entra Connecte quindi selezionare Cloud Sync.

    Screenshot che mostra la schermata di Introduzione.

  3. Nel riquadro sinistro selezionare Agenti.

  4. Seleziona Scarica l'agente on-premises, quindi seleziona Accetta i termini per il download &.

    Screenshot che mostra il download dell'agente.

  5. Dopo aver scaricato il pacchetto microsoft Entra Connect Provisioning Agent, eseguire il file di installazione AADConnectProvisioningAgentSetup.exe dalla cartella dei download.

    Nota

    Quando si esegue un'installazione per il Cloud del Governo degli Stati Uniti, usare AADConnectProvisioningAgentSetup.exe ENVIRONMENTNAME=AzureUSGovernment. Per ulteriori informazioni, vedere Installare un agente nel cloud del governo degli Stati Uniti.

  6. Nella schermata visualizzata selezionare la casella di controllo Accetto le condizioni di licenza e quindi selezionare Installa.

    Screenshot che mostra la schermata Microsoft Entra Provisioning Agent Package.

  7. Al termine dell'installazione, verrà aperta la configurazione guidata. Selezionare Avanti per avviare la configurazione.

    Screenshot che mostra la schermata iniziale.

  8. Nella schermata Seleziona estensione, selezionare provisioning basato su risorse umane (Workday e SuccessFactors) / Azure AD Connect Cloud Sync, e quindi selezionare Avanti.

    Screenshot che mostra la schermata Seleziona Estensione.

    Nota

    Se si installa l'agente di provisioning da usare con provisioning delle applicazioni locali di Microsoft Entra, selezionare provisioning delle applicazioni locali (Microsoft Entra ID all'applicazione).

  9. Accedere con un account che abbia almeno il ruolo di amministratore dell'identità ibrida . Se è abilitata la sicurezza avanzata di Internet Explorer, blocca l'accesso. In tal caso, chiudere l'installazione disabilitare la sicurezza avanzata di Internet Explorere riavviare l'installazione del pacchetto dell'agente di provisioning di Microsoft Entra Connect.

    Screenshot che mostra la schermata Connetti ID Entra Microsoft.

  10. Nella schermata Configura account del servizio, selezionare un account del servizio gestito del gruppo. Questo account viene usato per eseguire il servizio dell'agente. Se un account del servizio gestito del gruppo (gMSA) è già configurato nel dominio da un altro agente e si sta installando un secondo agente, selezionare Crea gMSA. Il sistema rileva l'account esistente e aggiunge le autorizzazioni necessarie per consentire al nuovo agente di utilizzare l'account gMSA. Quando richiesto, scegliere una delle due opzioni seguenti:

    • Crea gMSA: lascia che l'agente crei per te l'account del servizio gestito provAgentgMSA$. L'account del servizio gestito del gruppo (ad esempio, CONTOSO\provAgentgMSA$) viene creato nello stesso dominio di Active Directory in cui il server host è stato aggiunto. Per usare questa opzione, immettere le credenziali di amministratore di dominio di Active Directory (scelta consigliata).
    • Usare un gMSA personalizzato: specificare il nome dell'account del servizio gestito creato manualmente per questa attività.

  11. Per continuare, selezionare Avanti.

    Screenshot che mostra la schermata Configura account di servizio.

  12. Nella schermata Connetti active Directory, se il nome di dominio viene visualizzato in Domini configurati, passare al passaggio successivo. In caso contrario, immettere il nome di dominio di Active Directory e selezionare Aggiungi directory.

  13. Accedere con l'account amministratore di dominio di Active Directory. L'account amministratore di dominio non deve avere una password scaduta. Se la password è scaduta o cambia durante l'installazione dell'agente, riconfigurare l'agente con le nuove credenziali. Questa operazione aggiungerà la directory locale. Selezionare OKe quindi selezionare Avanti per continuare.

    Screenshot che mostra come immettere le credenziali di amministratore del dominio.

  14. Lo screenshot seguente mostra un esempio del dominio configurato per contoso.com. Selezionare Avanti per continuare.

    Screenshot che mostra la schermata di connessione ad Active Directory.

  15. Nella schermata Configurazione completata selezionare Conferma. Questa operazione registra e riavvia l'agente.

  16. Al termine dell'operazione, viene visualizzata una notifica che indica che la configurazione dell'agente è stata verificata correttamente. Selezionare Esci.

    Screenshot che mostra la schermata di fine.

  17. Se continui a vedere la schermata iniziale, seleziona Chiudi.

Verificare l'installazione dell'agente

La verifica dell'agente viene eseguita nel portale di Azure e nel server locale che esegue l'agente.

Verificare l'agente nel portale di Azure

Per verificare che Microsoft Entra ID registri l'agente, seguire questa procedura:

  1. Accedere al portale di Azure.

  2. Selezionare Microsoft Entra ID.

  3. Selezionare microsoft Entra Connecte quindi selezionare Cloud Sync.

    Screenshot che mostra la schermata di Introduzione.

  4. Nella pagina Cloud Sync vengono visualizzati gli agenti installati. Verificare che l'agente appaia e che lo stato sia integro.

Verificare l'agente nel server locale

Per verificare se l'agente è in esecuzione, seguire questa procedura:

  1. Accedere al server con un account amministratore.

  2. Passare a Services. È anche possibile usare Start/Run/Services.msc per accedervi.

  3. In Servizi, assicurarsi che siano presenti Microsoft Entra Connect Agent Updater e Microsoft Entra Connect Provisioning Agent e che lo stato sia In esecuzione.

    Screenshot che mostra i servizi di Windows.

Verificare la versione dell'agente di provisioning

Per verificare la versione dell'agente in esecuzione, seguire questa procedura:

  1. Passare a C:\Programmi\Microsoft Azure AD Connect Provisioning Agent.
  2. Fare clic con il pulsante destro del mouse su AADConnectProvisioningAgent.exe e scegliere Proprietà .
  3. Selezionare la scheda Dettagli. Il numero di versione viene visualizzato accanto alla versione del prodotto.

Configurare Microsoft Entra Cloud Sync

Per configurare il provisioning, seguire questa procedura:

  1. Accedi all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore di identità ibrida .

  2. Passare a Identità>Gestione ibrida>Microsoft Entra Connect>Cloud Sync.

    Screenshot che mostra la home page di Microsoft Entra Connect Cloud Sync.

  1. Selezionare Nuova configurazione
  2. Nella schermata di configurazione, immettere un valore per Messaggio di posta elettronica di notifica, spostare il selettore su Abilita e selezionare Salva.
  3. Lo stato della configurazione dovrebbe ora essere Integro.

Verificare che gli utenti siano stati creati e che la sincronizzazione sia in esecuzione

A questo punto, verificate che gli utenti che avevate nella nostra directory locale siano stati sincronizzati e che ora siano presenti nel tenant di Microsoft Entra. Il completamento di questo processo può richiedere alcune ore. Per verificare che gli utenti siano sincronizzati, eseguire le operazioni seguenti:

  1. Accedi al Centro di amministrazione di Microsoft Entra come almeno un Amministratore delle identità ibride.
  2. Passa a Identità>Utenti.
  3. Verificare che i nuovi utenti siano visibili nel nostro tenant

Testare l'accesso con uno degli utenti

  1. Passare a https://myapps.microsoft.com

  2. Accedere con un account utente creato nel nostro nuovo tenant. È necessario accedere usando il formato seguente: (user@domain.onmicrosoft.com). Usare la stessa password che l'utente usa per accedere in locale.

    Screenshot che mostra il portale delle app personali con un utente connesso.

La configurazione di un ambiente ibrido di gestione delle identità è stata completata. A questo punto è possibile usare questo ambiente a scopo di test o per acquisire familiarità con le funzionalità di Azure.

Passaggi successivi