Distribuire la sincronizzazione della directory di Microsoft 365 in Microsoft Azure
Microsoft Entra Connect (in precedenza noto come strumento di sincronizzazione directory, strumento di sincronizzazione directory o strumento DirSync.exe) è un'applicazione installata in un server aggiunto a un dominio per sincronizzare gli utenti di Active Directory locale Domain Services (AD DS) con il Microsoft Entra tenant dell'abbonamento a Microsoft 365. Microsoft 365 usa Microsoft Entra ID per il servizio directory. L'abbonamento a Microsoft 365 include un tenant Microsoft Entra. Questo tenant può essere usato anche per la gestione delle identità dell'organizzazione con altri carichi di lavoro cloud, incluse altre applicazioni e app SaaS in Azure.
È possibile installare Microsoft Entra Connect in un server locale, ma è anche possibile installarlo in una macchina virtuale in Azure per i motivi seguenti:
- È possibile effettuare il provisioning e configurare i server basati su cloud più rapidamente, in modo da rendere disponibili i servizi in minor tempo.
- Azure offre una migliore disponibilità del sito con un numero minore di operazioni.
- È possibile ridurre il numero di server locali dell'organizzazione.
Questa soluzione richiede la connettività tra la rete locale e la rete virtuale di Azure. Per altre informazioni, vedere Connettere una rete locale a una rete virtuale di Microsoft Azure.
Nota
In questo articolo viene descritta la sincronizzazione di un singolo dominio in una foresta singola. Microsoft Entra Connect sincronizza tutti i domini di Active Directory Domain Services nella foresta di Active Directory con Microsoft 365. Se sono presenti più foreste di Active Directory da sincronizzare con Microsoft 365, vedere Sincronizzazione directory con più foreste con uno scenario Sign-On singolo.
Panoramica della distribuzione della sincronizzazione della directory di Microsoft 365 in Azure
Il diagramma seguente mostra Microsoft Entra Connect in esecuzione in una macchina virtuale in Azure (il server di sincronizzazione directory) che sincronizza una foresta di Servizi di dominio Active Directory locale con una sottoscrizione di Microsoft 365.
Nel diagramma, sono riportate due reti connesse tramite una VPN da sito a sito o una connessione ExpressRoute. Esiste una rete locale in cui si trovano i controller di dominio di Active Directory Domain Services ed è presente una rete virtuale di Azure con un server di sincronizzazione directory, ovvero una macchina virtuale che esegue Microsoft Entra Connect. Esistono due flussi di traffico principali provenienti dal server di sincronizzazione della directory:
- Microsoft Entra Connect esegue una query su un controller di dominio nella rete locale per verificare le modifiche apportate agli account e alle password.
- Microsoft Entra Connect invia le modifiche agli account e alle password all'istanza Microsoft Entra dell'abbonamento a Microsoft 365. Poiché il server di sincronizzazione directory si trova in una parte estesa della rete locale, queste modifiche vengono inviate tramite il server proxy della rete locale.
Nota
Questa soluzione descrive la sincronizzazione di un singolo dominio di Active Directory, in una foresta Active Directory singola. Microsoft Entra Connect sincronizza tutti i domini di Active Directory nella foresta di Active Directory con Microsoft 365. Se sono presenti più foreste di Active Directory da sincronizzare con Microsoft 365, vedere Sincronizzazione directory con più foreste con uno scenario Sign-On singolo.
La distribuzione di questa soluzione comprende due passaggi principali:
Creare una rete virtuale di Azure e stabilire una connessione VPN da sito a sito alla rete locale. Per altre informazioni, vedere Connettere una rete locale a una rete virtuale di Microsoft Azure.
Installare Microsoft Entra Connect in una macchina virtuale aggiunta al dominio in Azure e quindi sincronizzare Active Directory Domain Services locale con Microsoft 365. Questa operazione implica:
Creazione di una macchina virtuale di Azure per l'esecuzione Microsoft Entra Connect.
Installazione e configurazione di Microsoft Entra Connect.
La configurazione di Microsoft Entra Connect richiede le credenziali (nome utente e password) di un account amministratore Microsoft Entra e di un account amministratore aziendale di Active Directory Domain Services. Microsoft Entra Connect viene eseguito immediatamente e in modo continuativo per sincronizzare la foresta di Active Directory Domain Services locale con Microsoft 365.
Prima di distribuire questa soluzione nell'ambiente di produzione, è possibile usare le istruzioni in Configurazione di base aziendale simulata per configurare questa configurazione come modello di verifica, per dimostrazioni o per la sperimentazione.
Importante
Al termine della configurazione di Microsoft Entra Connect, non salva le credenziali dell'account amministratore dell'organizzazione di Active Directory Domain Services.
Nota
Questa soluzione descrive la sincronizzazione di una singola foresta di Active Directory Domain Services con Microsoft 365. La topologia discussa in questo articolo rappresenta soltanto un modo per implementare la soluzione. La topologia dell'organizzazione potrebbe differire in base ai requisiti di rete univoci e alle considerazioni sulla sicurezza.
Pianificare l'hosting di un server di sincronizzazione directory per Microsoft 365 in Azure
Prerequisiti
Prima di iniziare, rivedere i prerequisiti relativi alla soluzione:
Rivedere i contenuti sulla pianificazione correlati in Pianificare la rete virtuale di Azure.
Assicurarsi che siano soddisfatti tutti i Prerequisiti relativi alla configurazione della rete virtuale di Azure.
Avere una sottoscrizione di Microsoft 365 che include la funzionalità di integrazione di Active Directory. Per informazioni sulle sottoscrizioni di Microsoft 365, passare alla pagina dell'abbonamento a Microsoft 365.
Effettuare il provisioning di una macchina virtuale di Azure che esegue Microsoft Entra Connect per sincronizzare la foresta di Active Directory Domain Services locale con Microsoft 365.
È necessario disporre delle credenziali (nomi e password) per un account amministratore aziendale di Active Directory Domain Services e un account amministratore Microsoft Entra.
Presupposti per la progettazione dell’architettura della soluzione
Di seguito sono riportate le scelte di progettazione effettuate per questa soluzione:
In questa soluzione viene utilizzata una singola rete virtuale di Azure con una connessione VPN da sito a sito. La rete virtuale di Azure ospita una singola subnet con un server, il server di sincronizzazione della directory che esegue Microsoft Entra Connect.
Nella rete locale sono disponibili un controller di dominio e alcuni server DNS.
Microsoft Entra Connect esegue la sincronizzazione dell'hash delle password anziché l'accesso Single Sign-On. Non è necessario distribuire un'infrastruttura Active Directory Federation Services (AD FS). Per altre informazioni sulle opzioni di sincronizzazione dell'hash delle password e Single Sign-On, vedere Scelta del metodo di autenticazione corretto per la soluzione di identità ibrida Microsoft Entra.
Esistono altre opzioni di progettazione che è possibile prendere in considerazione quando si distribuisce questa soluzione nell'ambiente. Tra le caratteristiche vi sono le seguenti:
Se in una rete virtuale Azure esistente sono disponibili server DNS, determinare se si desidera che il server di sincronizzazione della directory li utilizzi per la risoluzione dei nomi al posto dei server DNS presenti nella rete locale.
Se sono presenti controller di dominio in una rete virtuale di Azure esistente, determinare se la configurazione di Siti e servizi di Active Directory potrebbe essere un'opzione migliore. Il server di sincronizzazione directory può eseguire query sui controller di dominio nella rete virtuale di Azure per le modifiche apportate agli account e alle password anziché ai controller di dominio nella rete locale.
Guida di orientamento alla distribuzione
La distribuzione di Microsoft Entra Connect in una macchina virtuale in Azure è costituita da tre fasi:
Fase 1: Creare e configurare la rete virtuale di Azure
Fase 2: Creare e configurare la macchina virtuale di Azure
Fase 3: Installare e configurare Microsoft Entra Connect
Dopo la distribuzione, è anche necessario assegnare posizioni e licenze per i nuovi account utente in Microsoft 365.
Fase 1: Creare e configurare la rete virtuale di Azure
Per creare e configurare la rete virtuale di Azure, completare la Fase 1: Preparare la rete locale e la Fase 2: Creare la rete virtuale cross-premise in Azure nella guida di orientamento alla distribuzione di Connect an on-premises network to a Microsoft Azure Virtual Network.
Questa è la configurazione risultante.
Nella figura viene illustrata una rete locale connessa a una rete virtuale di Azure tramite una connessione VPN da sito a sito o ExpressRoute.
Fase 2: Creare e configurare la macchina virtuale Azure
Creare la macchina virtuale in Azure usando le istruzioni Creare la prima macchina virtuale Windows nel portale di Azure. Utilizzare le seguenti impostazioni:
Nel riquadro Impostazioni di base, selezionare la stessa sottoscrizione, lo stesso percorso e lo stesso gruppo di risorse della rete virtuale. Registrare nome utente e password in un percorso sicuro. Questi saranno necessari in un secondo momento per connettersi alla macchina virtuale.
Nel riquadro Scegli una dimensione, scegliere la dimensione A2 Standard.
Nel riquadro Impostazioni, nella sezione Archiviazione, selezionare il tipo di disco Standard. Nella sezione Rete selezionare il nome della rete virtuale e la subnet per l'hosting del server di sincronizzazione directory (non gatewaySubnet). Lasciare i valori predefiniti per tutte le altre impostazioni.
Verificare che il server di sincronizzazione della directory stia utilizzando correttamente il DNS controllando il DNS interno e accertandosi che sia stato aggiunto un record Address (A) per la macchina virtuale con l'indirizzo IP.
Usare le istruzioni in Connettersi alla macchina virtuale e accedere per connettersi al server di sincronizzazione della directory con una connessione Desktop remoto. Dopo l'accesso, aggiungere la macchina virtuale al dominio di Active Directory Domain Services locale.
Per Microsoft Entra Connettersi per ottenere l'accesso alle risorse Internet, è necessario configurare il server di sincronizzazione della directory per usare il server proxy della rete locale. È necessario contattare l'amministratore di rete per visualizzare eventuali ulteriori procedure di configurazione da eseguire.
Questa è la configurazione risultante.
Nella figura viene illustrata la macchina virtuale del server di sincronizzazione della directory nella rete virtuale Azure cross-premise.
Fase 3: Installare e configurare Microsoft Entra Connect
Completare la procedura seguente:
Connettersi al server di sincronizzazione della directory usando una connessione Desktop remoto con un account di dominio Active Directory Domain Services con privilegi di amministratore locale. Vedere Connettersi alla macchina virtuale e accedere.
Dal server di sincronizzazione directory aprire l'articolo Configurare la sincronizzazione della directory per Microsoft 365 e seguire le istruzioni per la sincronizzazione della directory con la sincronizzazione dell'hash delle password.
Attenzione
Il programma di installazione crea l'account AAD_xxxxxxxxxxxx nell'unità organizzativa Utenti locali. Non spostare o eliminare l'account, altrimenti la sincronizzazione avrà esito negativo.
Questa è la configurazione risultante.
Questa figura mostra il server di sincronizzazione della directory con Microsoft Entra Connect nella rete virtuale di Azure cross-premise.
Assegnare posizioni e licenze agli utenti in Microsoft 365
Microsoft Entra Connect aggiunge account alla sottoscrizione di Microsoft 365 dal servizio Active Directory Domain Services locale, ma per consentire agli utenti di accedere a Microsoft 365 e usare i relativi servizi, gli account devono essere configurati con una posizione e licenze. Seguire questi passaggi per aggiungere il percorso e attivare le licenze per gli account utente appropriati:
Accedere al interfaccia di amministrazione di Microsoft 365 e quindi fare clic su Amministrazione.
Nel riquadro di spostamento a sinistra fare clic su Utenti>attivi.
Nell’elenco degli account utente, selezionare la casella di controllo accanto all'utente che si desidera attivare.
Nella pagina dell'utente fare clic su Modifica per Licenze di prodotto.
Nella pagina Licenze di prodotto selezionare un percorso per l'utente per Percorso, quindi abilitare le licenze appropriate per l'utente.
Al termine dell'operazione, fare clic su Salva e fare clic due volte su Chiudi.
Tornare al passaggio 3 per altri utenti.
Vedere anche
Centro soluzioni e architetture di Microsoft 365
Connettere una rete locale a una rete virtuale di Microsoft Azure
Scaricare Microsoft Entra Connect
Configurare la sincronizzazione della directory per Microsoft 365