Condividi tramite


Microsoft Entra Connect: Quando è presente un tenant esistente

La maggior parte degli argomenti che illustrano come usare Microsoft Entra Connect presuppongono che si inizi con un nuovo tenant di Microsoft Entra che non contiene utenti o altri oggetti. Questo argomento è utile se tuttavia si inizia con un tenant di Microsoft Entra che contiene già utenti e altri oggetti e ora si vuole usare Connect.

Nozioni di base

Un oggetto in Microsoft Entra ID viene gestito nel cloud o in locale. Per un singolo oggetto non è possibile gestire alcuni attributi in locale e altri attributi in Microsoft Entra ID. Ogni oggetto ha un flag che indica dove viene gestito l'oggetto.

È possibile gestire alcuni utenti in locale e altri nel cloud. Uno scenario comune per questa configurazione è un'azienda con una combinazione di contabili e addetti alla vendita. A differenza degli addetti alle vendite, i contabili hanno un account AD locale, ma entrambi hanno un account in Microsoft Entra ID. Alcuni utenti verranno gestiti in locale, alcuni in Microsoft Entra ID.

Ci sono alcuni problemi aggiuntivi da considerare quando si inizia a gestire in Microsoft Entra ID utenti che sono presenti anche in locale e che, in seguito, vogliono usare Microsoft Entra Connect.

Sincronizzare con gli utenti esistenti in Microsoft Entra ID

Quando si avvia la sincronizzazione con Microsoft Entra Connect, l'API del servizio Microsoft Entra controlla ogni nuovo oggetto in ingresso e cerca di trovare un oggetto esistente da abbinare. Vengono usati tre attributi per questo processo: userPrincipalName, proxyAddresses e sourceAnchor/immutableID. Una corrispondenza basata su userPrincipalName o proxyAddresses è nota come "corrispondenza flessibile". Una corrispondenza per sourceAnchor è nota come "corrispondenza rigida". Per l'attributo proxyAddresses solo il valore con attributo SMTP:, ovvero l'indirizzo di posta elettronica principale, viene usato per la valutazione.

La corrispondenza viene valutata solo per i nuovi oggetti provenienti da Connect. Se si modifica un oggetto esistente in modo che corrisponda a uno di questi attributi, verrà visualizzato un errore.

Se Microsoft Entra ID trova un oggetto in cui i valori dell'attributo corrispondono a quelli del nuovo oggetto in ingresso di Microsoft Entra Connect, acquisisce l'oggetto in Microsoft Entra ID e l'oggetto gestito dal cloud in precedenza viene convertito in gestito in locale. Tutti gli attributi in Microsoft Entra ID con un valore in AD locale vengono sovrascritti con il rispettivo valore locale.

Avviso

Poiché tutti gli attributi in Microsoft Entra ID verranno sovrascritti con il valore locale, assicurarsi che i dati locali siano corretti. Se ad esempio un indirizzo di posta elettronica è stato gestito solo in Microsoft 365, ma non è stato aggiornato nell'istanza di Active Directory Domain Services locale, i valori di Microsoft Entra ID/Microsoft 365 non presenti in Active Directory Domain Services andranno persi.

Importante

Se si usa la sincronizzazione delle password, che viene sempre usata dalle impostazioni rapide, la password in Microsoft Entra ID verrà sovrascritta con quella dell'istanza di AD locale. Se gli utenti sono abituati a gestire più password, è necessario informarli che dovranno usare la password locale dopo aver installato Connect.

È necessario prendere in considerazione le indicazioni della sezione precedente nella pianificazione. Se sono state apportate numerose modifiche in Microsoft Entra ID che non sono state applicate in Active Directory Domain Services locale, per evitare la perdita di dati, è necessario pianificare come popolare Active Directory Domain Services con i valori aggiornati di Microsoft Entra ID prima di sincronizzare gli oggetti con Microsoft Entra Connect.

Se gli oggetti sono stati abbinati con una corrispondenza flessibile, sourceAnchor verrà aggiunto all'oggetto in Microsoft Entra ID e in seguito sarà quindi possibile usare una corrispondenza rigida.

Importante

Microsoft sconsiglia fortemente la sincronizzazione di account locali con account amministrativi preesistenti in Microsoft Entra ID.

Differenza tra corrispondenza rigida e corrispondenza flessibile

Per impostazione predefinita, il valore di SourceAnchor "abcdefghijklmnopqrstuv==" viene calcolato da Microsoft Entra Connect con l'attributo MsDs-ConsistencyGUID (o ObjectGUID a seconda della configurazione) di Active Directory locale. Questo valore dell'attributo corrisponde all'attributo ImmutableId in Microsoft Entra ID. Quando Microsoft Entra Connect (motore di sincronizzazione) aggiunge o aggiorna oggetti, Microsoft Entra ID abbina l'oggetto in ingresso al valore sourceAnchor corrispondente all'attributo ImmutableId dell'oggetto esistente in Microsoft Entra ID. Se esiste una corrispondenza, Microsoft Entra Connect acquisisce tale oggetto e lo aggiorna con le proprietà dell'oggetto Active Directory locale in ingresso in quella che è nota come "corrispondenza rigida". Quando Microsoft Entra ID non riesce a trovare alcun oggetto con attributo ImmutableId corrispondente al valore di SourceAnchor, prova a l'attributo userPrincipalName o ProxyAddress primario dell'oggetto in ingresso per trovare una corrispondenza in quella che è nota come *"corrispondenza flessibile". La corrispondenza flessibile prova ad abbinare gli oggetti già presenti e gestiti in Microsoft Entra ID con i nuovi oggetti in ingresso aggiunti o aggiornati che rappresentano la stessa entità locale. Se Microsoft Entra ID non riesce a trovare una corrispondenza rigida o una corrispondenza flessibile per l'oggetto in ingresso, effettua il provisioning di un nuovo oggetto nella directory di Microsoft Entra ID. È stata aggiunta un'opzione di configurazione per disabilitare la funzionalità di corrispondenza rigida in Microsoft Entra ID. È consigliabile che i clienti disabilitino la corrispondenza rigida, a meno che non ne abbiano bisogno per acquisire gli account solo cloud.

Per disabilitare la corrispondenza rigida, usare il cmdlet Update-MgDirectoryOnPremiseSynchronization di Microsoft Graph PowerShell:

Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"

$OnPremSync = Get-MgDirectoryOnPremiseSynchronization
$OnPremSync.Features.BlockCloudObjectTakeoverThroughHardMatchEnabled = $true
Update-MgDirectoryOnPremiseSynchronization `
    -OnPremisesDirectorySynchronizationId $OnPremSync.Id `
    -Features $OnPremSync.Features

Analogamente, è stata aggiunta un'opzione di configurazione per disabilitare l'opzione di corrispondenza flessibile in Microsoft Entra ID. È consigliabile che i clienti disabilitino la corrispondenza flessibile, a meno che non ne abbiano bisogno per acquisire gli account solo cloud.

Per disabilitare la corrispondenza flessibile, usare il cmdlet Update-MgDirectoryOnPremiseSynchronization di Microsoft Graph PowerShell:

Connect-MgGraph -Scopes "OnPremDirectorySynchronization.ReadWrite.All"

$OnPremSync = Get-MgDirectoryOnPremiseSynchronization
$OnPremSync.Features.BlockSoftMatchEnabled = $true
Update-MgDirectoryOnPremiseSynchronization `
    -OnPremisesDirectorySynchronizationId $OnPremSync.Id `
    -Features $OnPremSync.Features

Nota

BlockCloudObjectTakeoverThroughHardMatchEnabled e BlockSoftMatchEnabled consentono di bloccare la corrispondenza per tutti gli oggetti, se abilitati per il tenant. I clienti sono invitati a disabilitare queste funzionalità solo durante il periodo in cui è richiesta una routine di abbinamento per la tenancy. Questo flag deve essere impostato di nuovo su True quando l'eventuale abbinamento è stato completato e non è più necessario.

Oggetti diversi dagli utenti

Per i contatti e i gruppi abilitati per la posta è possibile applicare la corrispondenza flessibile in base all'attributo proxyAddresses. La corrispondenza rigida non è applicabile perché è possibile aggiornare solo gli attributi sourceAnchor o immutableID (tramite PowerShell) esclusivamente per Users. Per i gruppi non abilitati per la posta non è attualmente disponibile alcun supporto per la corrispondenza rigida o per la corrispondenza flessibile.

Considerazioni sul ruolo di amministratore

Come protezione dagli utenti locali non attendibili, Microsoft Entra ID non abbina utenti locali e utenti cloud che hanno un ruolo di amministratore. Si tratta di un comportamento applicato per impostazione predefinita. Per ovviare a questa limitazione, è possibile eseguire la procedura seguente:

  1. Rimuovere i ruoli della directory dall'oggetto utente solo cloud.
  2. Eliminare definitivamente l'oggetto in quarantena nel cloud.
  3. Attivare una sincronizzazione.
  4. Facoltativamente, aggiungere di nuovo i ruoli della directory all'oggetto utente nel cloud una volta completato l'abbinamento.

Creare una nuova istanza di Active Directory locale dai dati di Microsoft Entra ID

Alcuni clienti iniziano con una soluzione solo cloud con Microsoft Entra ID e non hanno un'istanza di Active Directory locale. In un secondo momento intendono usare risorse locali e creare un'istanza di Active Directory locale basata sui dati di Microsoft Entra. Microsoft Entra Connect non è utile per questo scenario. Non consente infatti di creare utenti locali e non può impostare in locale la stessa password usata in Microsoft Entra ID.

Se l'unico motivo per cui si intende aggiungere un'istanza di Active Directory locale è per supportare LOB (app line-of-business), è probabilmente opportuno considerare l'uso di Microsoft Entra Domain Services.

Passaggi successivi

Altre informazioni sull'integrazione di identità locali con Microsoft Entra ID.