Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo fornisce indicazioni sull'uso di Microsoft Entra Cloud Sync come soluzione di gestione delle identità.
Requisiti dell'agente di cloud provisioning
Per usare Microsoft Entra Cloud Sync, è necessario quanto segue:
Credenziali di Amministratore di dominio o di Amministratore dell'organizzazione per creare un account dei servizi gestiti di gruppo (gMSA) per la sincronizzazione cloud di Microsoft Entra Connect, necessario per l'esecuzione del servizio agente.
Un account di amministratore di identità ibride per il tenant di Microsoft Entra che non è un utente ospite.
Microsoft Entra agente di sincronizzazione cloud deve essere installato in un server aggiunto a un dominio che esegue Windows Server 2022, Windows Server 2019 o Windows Server 2016. È consigliabile Windows Server 2022. È possibile distribuire Microsoft Entra Cloud Sync in Windows Server 2016, ma poiché è in supporto esteso, potrebbe essere necessario a programma di supporto a pagamento se è necessario il supporto per questa configurazione. L'installazione in versioni non supportate di Windows Server può causare errori del servizio o comportamenti imprevisti.
Importante
Windows Server 2025 NON è supportato. Si è verificato un problema noto in Windows Server 2025 che può causare problemi di sincronizzazione Microsoft Entra Cloud Sync. Se è stato eseguito l'aggiornamento a Windows Server 2025, assicurarsi di aver installato October 20, 2025 - KB5070773 o versione successiva. Dopo l'installazione di questo aggiornamento, riavviare il server per rendere effettive le modifiche. Il supporto per Windows Server 2025 per Microsoft Entra Cloud Sync è previsto per una versione futura.
Questo server deve essere un server di livello 0 basato sul modello di livello Active Directory livello amministrativo. L'installazione dell'agente in un controller di dominio è supportata. Per altre informazioni, vedere Rafforzare il server dell'agente di provisioning Microsoft Entra
Lo schema Active Directory deve avere l'attributo msDS-ExternalDirectoryObjectId, disponibile in Windows Server 2016 e versioni successive.
Il servizio Windows Gestione credenziali (VaultSvc) non può essere disabilitato perché impedisce l'installazione dell'agente di provisioning.
La disponibilità elevata si riferisce alla capacità di Microsoft Entra Cloud Sync di operare in modo continuo senza errori per molto tempo. Con l'installazione e l'esecuzione di più agenti attivi, Microsoft Entra Cloud Sync può continuare a funzionare anche in caso di errore di un agente. Microsoft consiglia di installare 3 agenti attivi per la disponibilità elevata.
Configurazioni del firewall locale.
Rafforzare la protezione avanzata del server agente di provisioning Microsoft Entra
È consigliabile rafforzare la protezione avanzata del server agente di provisioning Microsoft Entra per ridurre la superficie di attacco alla sicurezza per questo componente critico dell'ambiente IT. Seguendo queste raccomandazioni è possibile attenuare alcuni rischi per la sicurezza per l'organizzazione.
- È consigliabile irrobustire il server dell'agente di provisioning di Microsoft Entra come asset del Control Plane, precedentemente noto come livello 0, seguendo le indicazioni fornite in Secure Privileged Access e nel modello a livelli amministrativi di Active Directory.
- Limitare l'accesso amministrativo al server agente di provisioning Microsoft Entra solo agli amministratori di dominio o ad altri gruppi di sicurezza strettamente controllati.
- Creare un account dedicato per tutto il personale con accesso privilegiato. Gli amministratori non devono esplorare il Web, controllare la posta elettronica e svolgere attività di produttività quotidiane con account con privilegi elevati.
- Seguire le indicazioni fornite in Protezione dell'accesso privilegiato.
- Impedisci l'uso dell'autenticazione NTLM con il server dell'agente di provisioning di Microsoft Entra. Ecco alcuni modi per eseguire questa operazione: Restricting NTLM nel server dell'agente di provisioning Microsoft Entra e Restricting NTLM in un dominio
- Verificare che ogni computer disponga di una password di amministratore locale univoca. Per altre informazioni, vedere Soluzione password amministratore locale (Windows LAPS) consente di configurare password casuali univoche su ciascuna workstation e server e memorizzarle in Active Directory, proteggendole con un ACL. Solo gli utenti autorizzati idonei possono leggere o richiedere la reimpostazione di queste password dell'account amministratore locale. Altre indicazioni per l'uso di un ambiente con Windows LAPS e workstation con accesso privilegiato (PAWs) sono disponibili in Standard operativo basato sul principio dell'origine pulita.
- Implementare workstation dotate di accesso con privilegi dedicate per tutto il personale con accesso con privilegi ai sistemi informativi dell'organizzazione.
- Seguire queste linee guida aggiuntive per ridurre la superficie di attacco dell'ambiente Active Directory.
- Segui Monitorare le modifiche alla configurazione della federazione per impostare avvisi per monitorare le modifiche all'attendibilità stabilita tra il tuo provider di identità e Microsoft Entra ID.
- Abilitare l'autenticazione a più fattori (MFA) per tutti gli utenti con accesso con privilegi in Microsoft Entra ID o in ACTIVE Directory. Un problema di sicurezza relativo all'uso dell'agente di provisioning Microsoft Entra è che se un utente malintenzionato può ottenere il controllo sul server dell'agente di provisioning Microsoft Entra può modificare gli utenti in Microsoft Entra ID. Per impedire a un utente malintenzionato di usare queste funzionalità per assumere Microsoft Entra account, MFA offre protezioni. Ad esempio, anche se un utente malintenzionato riesce a reimpostare la password di un utente usando l'agente di provisioning Microsoft Entra, non può comunque ignorare il secondo fattore.
Account del servizio gestito di gruppo
Un account di servizio gestito di gruppo è un account di dominio gestito che offre la gestione automatica delle password e una gestione semplificata del nome principale del servizio (SPN). Offre anche la possibilità di delegare la gestione ad altri amministratori ed estende questa funzionalità su più server. Microsoft Entra Cloud Sync supporta e usa un gMSA per l'esecuzione dell'agente. Durante l'installazione verranno richieste credenziali amministrative per creare l'account. L'account viene visualizzato come domain\provAgentgMSA$. Per ulteriori informazioni su un gMSA, consultare Account di Servizio Gestito di Gruppo.
Prerequisiti per gli account del servizio gestito di gruppo (gMSA)
- Lo schema Active Directory nella foresta del dominio del servizio gestito del gruppo deve essere aggiornato per Windows Server 2012 o versione successiva.
- moduli RSAT di PowerShell su un controller di dominio.
- Almeno un controller di dominio nel dominio deve eseguire Windows Server 2012 o versione successiva.
- Server aggiunto a un dominio che esegue Windows Server 2022, Windows Server 2019 o Windows Server 2016 per l'installazione dell'agente.
Account gMSA personalizzato
Se stai creando un account gMSA personalizzato, devi assicurarti che l'account abbia le seguenti autorizzazioni.
| Digitare | Nome | Accesso | Si applica a |
|---|---|---|---|
| Consenti | Account di Servizio Gestito di Gruppo | Leggere tutte le proprietà | Oggetti discendenti del dispositivo |
| Consenti | Account di Servizio Gestito di Gruppo | Leggere tutte le proprietà | Oggetti InetOrgPerson discendenti |
| Consenti | Account di Servizio Gestito di Gruppo | Leggere tutte le proprietà | Oggetti di Computer discendenti |
| Consenti | Account di Servizio Gestito di Gruppo | Leggere tutte le proprietà | Oggetti discendenti "foreignSecurityPrincipal" |
| Consenti | Account di Servizio Gestito di Gruppo | Controllo completo | Oggetti del Gruppo discendenti |
| Consenti | Account di Servizio Gestito di Gruppo | Leggere tutte le proprietà | Oggetti utente discendenti |
| Consenti | Account di Servizio Gestito di Gruppo | Leggere tutte le proprietà | Oggetti di contatto discendenti |
| Consenti | Account di Servizio Gestito di Gruppo | Creare/eliminare oggetti utente | Questo oggetto e tutti gli oggetti discendenti |
Per informazioni su come aggiornare un agente esistente per l'uso di un Account del Servizio Gestito di Gruppo, vedere Account del Servizio Gestito di Gruppo.
Per ulteriori informazioni su come preparare la Active Directory per gli account del servizio gestito di gruppo, consultare Panoramica sugli account del servizio gestito di gruppo e Account del servizio gestito di gruppo con sincronizzazione cloud.
Nell'interfaccia di amministrazione di Microsoft Entra
- Creare un account Amministratore Identità Ibrida esclusivamente cloud nel tenant di Microsoft Entra. In questo modo, è possibile gestire la configurazione del tenant se i servizi locali hanno esito negativo o diventano non disponibili. Informazioni su come aggiungere un account amministratore di identità ibride esclusivamente cloud. Completare questo passaggio è fondamentale per evitare di essere escluso dal tenant.
- Aggiungi uno o più nomi di dominio personalizzati al tenant di Microsoft Entra. Gli utenti possono accedere con uno di questi nomi di dominio.
Nella tua directory in Active Directory
Eseguire lo strumento IdFix per preparare gli attributi della directory per la sincronizzazione.
Nell'ambiente locale
- Identificare un server host aggiunto al dominio che esegue Windows Server 2022, Windows Server 2019 o Windows Server 2016 con almeno 4 GB di RAM e .NET runtime 4.7.1+ .
- I criteri di esecuzione di PowerShell nel server locale devono essere impostati su Undefined o RemoteSigned.
- Se è presente un firewall tra i server e Microsoft Entra ID, vedere Firewall e i requisiti proxy.
Nota
L'installazione dell'agente di provisioning cloud in Windows Server Core non è supportata.
Effettuare il provisioning di Microsoft Entra ID in Active Directory Domain Services - Prerequisiti
I prerequisiti seguenti sono necessari per implementare i gruppi di provisioning per Active Directory Domain Services (AD DS).
Requisiti di licenza
L'uso di questa funzionalità richiede Microsoft Entra ID licenze P1. Per trovare la licenza appropriata in base ai vostri requisiti, vedere Confronta le funzionalità generalmente disponibili di Microsoft Entra ID.
Requisiti generali
- Microsoft Entra account con almeno il ruolo di Amministratore delle identità ibride.
- Schema di Active Directory Domain Services locale con l'attributo msDS-ExternalDirectoryObjectId, disponibile in Windows Server 2016 e versioni successive.
- Agente di provisioning con build 1.1.1373.0 o successiva.
Nota
Le autorizzazioni per l'account del servizio vengono assegnate esclusivamente durante un'installazione pulita. Se si esegue l'aggiornamento dalla versione precedente, le autorizzazioni devono essere assegnate manualmente tramite PowerShell:
$credential = Get-Credential
Set-AADCloudSyncPermissions -PermissionType UserGroupCreateDelete -TargetDomain "FQDN of domain" -EACredential $credential
Se le autorizzazioni vengono impostate manualmente, è necessario assegnare tutte le proprietà Read, Write, Create e Delete per tutti gli oggetti User e i gruppi discendenti.
Queste autorizzazioni non vengono applicate agli oggetti AdminSDHolder per impostazione predefinita. Per ulteriori informazioni, vedere i cmdlet di PowerShell gMSA dell'agente di provisioning di Microsoft Entra.
- L'agente di provisioning deve essere installato in un server che esegue Windows Server 2022, Windows Server 2019 o Windows Server 2016.
- L'agente di provisioning deve essere in grado di comunicare con uno o più controller di dominio sulle porte TCP/389 (LDAP) e TCP/3268 (Catalogo globale).
- Obbligatorio per la ricerca del catalogo globale per escludere riferimenti di appartenenza non validi
- Microsoft Entra Connect Sync con versione build 2.2.8.0
- Necessario per supportare l'appartenenza utente locale sincronizzata tramite Microsoft Entra Connect Sync
- Obbligatorio per la sincronizzazione
AD DS:user:objectGUIDconAAD DS:user:onPremisesObjectIdentifier
Limiti di scalabilità per i gruppi di provisioning per Active Directory
Il provisioning di gruppi per la funzionalità Active Directory è influenzato dalle dimensioni del tenant e dal numero di gruppi e adesioni inclusi nell'ambito del provisioning su Active Directory. Questa sezione fornisce indicazioni su come determinare se GPAD supporta i requisiti della tua scala e come scegliere la modalità di ambito del gruppo corretta per ottenere cicli di sincronizzazione iniziale e delta più rapidi.
Cosa non è supportato?
- I gruppi con dimensioni superiori a 50.000 membri non sono supportati.
- L'uso dell'ambito "Tutti i gruppi di sicurezza" senza applicare il filtro dell'ambito dell'attributo non è supportato.
Limiti di scalabilità
| Modalità di delimitazione | Numero di gruppi nel perimetro di applicazione | Numero di collegamenti di appartenenza (solo membri diretti) | Note |
|---|---|---|---|
| Modalità "Gruppi di sicurezza selezionati" | Fino a 10.000 gruppi. Il riquadro CloudSync nel portale di Microsoft Entra consente solo di selezionare fino a 999 gruppi e di visualizzare fino a 999 gruppi. Se è necessario aggiungere più di 1000 gruppi nell'ambito, vedere: Selezione di gruppi espansi tramite API. | Fino a 250.000 membri totali in tutti i gruppi nell'ambito. | Usare questa modalità di definizione dell'ambito se il tenant supera UNO di questi limiti 1. Il tenant ha più di 200.000 utenti 2. Il tenant ha più di 40.000 gruppi 3. Il tenant ha più di 1M membri di gruppi. |
| Modalità "Tutti i gruppi di sicurezza" con almeno un filtro di ambito dell'attributo. | Fino a 20.000 gruppi. | Fino a 500.000 membri totali in tutti i gruppi presi in considerazione. | Usare questa modalità di delimitazione se il tenant soddisfa TUTTI i limiti seguenti: 1. Il tenant ha meno di 200.000 utenti 2. Il tenant ha meno di 40.000 gruppi 3. Il tenant ha meno di 1M appartenenze a gruppi. |
Cosa fare se si superano i limiti
Il superamento dei limiti consigliati rallenterà la sincronizzazione iniziale e differenziale, causando probabilmente errori di sincronizzazione. In questo caso, seguire questa procedura:
Troppi gruppi o membri del gruppo in modalità di ambito "Gruppi di sicurezza selezionati":
Ridurre il numero di gruppi nell'ambito, puntando a gruppi di valore più alto oppure dividere il provisioning in lavori multipli e distinti con ambiti disgiunti.
Troppi gruppi o membri del gruppo in modalità di delimitazione 'Tutti i gruppi di sicurezza':
Utilizzare la modalità di delimitazione Gruppi di sicurezza selezionati come consigliato.
Alcuni gruppi superano i 50.000 membri:
Suddividere l'appartenenza tra più gruppi o adottare gruppi a fasi (ad esempio, per area o business unit) per mantenere ogni gruppo al di sotto del limite.
Selezione di gruppi espansi tramite API
Se è necessario selezionare più di 999 gruppi, devi usare la chiamata API Grant an appRoleAssignment per un principale del servizio.
Di seguito è riportato un esempio di chiamate API:
POST https://graph.microsoft.com/v1.0/servicePrincipals/{servicePrincipalID}/appRoleAssignedTo
Content-Type: application/json
{
"principalId": "",
"resourceId": "",
"appRoleId": ""
}
where:
- principalId: ID oggetto gruppo.
- resourceId: ID principale del servizio del Job.
- appRoleId: identificatore del ruolo dell'app esposto dal principale del servizio risorsa.
La tabella seguente è un elenco degli ID ruolo dell'applicazione per le piattaforme Cloud:
| Cloud | appRoleId |
|---|---|
| Public | 1a0abf4d-b9fa-4512-a3a2-51ee82c6fd9f |
| AzureUSGovernment | d8fa317e-0713-4930-91d8-1dbeb150978f |
| AzureUSNatCloud | 50a55e47-aae2-425c-8dcb-ed711147a39f |
| AzureUSSecCloud | 52e862b9-0b95-43fe-9340-54f51248314f |
Maggiori informazioni
Ecco altri punti da considerare quando si effettua il provisioning dei gruppi in Servizi di dominio Active Directory.
- I gruppi di cui è stato effettuato il provisioning in Servizi di dominio Active Directory tramite Cloud Sync possono contenere solo utenti sincronizzati in locale o altri gruppi di sicurezza creati dal cloud.
- Questi utenti devono avere l'attributo onPremisesObjectIdentifier impostato sul proprio account.
- OnPremisesObjectIdentifier deve corrispondere a un objectGUID corrispondente nell'ambiente di Active Directory Domain Services di destinazione.
- Un attributo objectGUID utente locale può essere sincronizzato con un attributo onPremisesObjectIdentifier di un utente cloud usando entrambi i client di sincronizzazione.
- Solo i tenant Microsoft Entra ID globali possono eseguire il provisioning da Microsoft Entra ID ad Active Directory Domain Services. Tenant come B2C non sono supportati.
- Il processo di provisioning del gruppo è pianificato per essere eseguito ogni 20 minuti.
Altri requisiti
Requisiti TLS
Nota
Transport Layer Security (TLS) è un protocollo che fornisce comunicazioni sicure. La modifica delle impostazioni TLS influisce sull'intera foresta. Per altre informazioni, vedere Update per abilitare TLS 1.1 e TLS 1.2 come protocolli sicuri predefiniti in WinHTTP in Windows.
Il server Windows che ospita l'agente di provisioning cloud Microsoft Entra Connect deve avere TLS 1.2 abilitato prima di installarlo.
Per abilitare TLS 1.2, seguire questa procedura.
Impostare le chiavi del Registro di sistema seguenti copiando il contenuto in un file .reg e quindi eseguendo il file (selezionare con il pulsante destro del mouse sul file e scegliere Unisci):
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server] "DisabledByDefault"=dword:00000000 "Enabled"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319] "SchUseStrongCrypto"=dword:00000001Riavviare il server.
Requisiti del firewall e del proxy
Se è presente un firewall tra i server e Microsoft Entra ID, configurare gli elementi seguenti:
Assicurarsi che gli agenti possano effettuare richieste outbound per Microsoft Entra ID sulle porte seguenti:
Numero di porta Descrizione 80 Scarica gli elenchi di revoche di certificati (CRL) durante la convalida del certificato TLS/SSL. 443 Gestisce tutte le comunicazioni in uscita con il servizio. 8080 (facoltativo) Gli agenti segnalano lo stato ogni 10 minuti sulla porta 8080, se la porta 443 non è disponibile. Questo stato viene visualizzato nell'interfaccia di amministrazione di Microsoft Entra. Se il firewall applica regole in base agli utenti di origine del traffico, aprire queste porte per il traffico dai servizi Windows che sono eseguiti come servizio di rete.
Assicurarsi che il proxy supporti almeno il protocollo HTTP 1.1 e che la codifica in blocchi sia abilitata.
Se il firewall o il proxy consente di specificare suffissi sicuri, aggiungere connessioni:
| URL | Descrizione |
|---|---|
*.msappproxy.net*.servicebus.windows.net |
L'agente usa questi URL per comunicare con il servizio cloud Microsoft Entra. |
*.microsoftonline.com*.microsoft.com*.msappproxy.com*.windowsazure.com |
L'agente usa questi URL per comunicare con il servizio cloud Microsoft Entra. |
mscrl.microsoft.com:80
crl.microsoft.com:80
ocsp.msocsp.com:80
www.microsoft.com:80
|
L'agente usa questi URL per verificare i certificati. |
login.windows.net
login.live.com
|
L'agente usa questi URL durante il processo di registrazione. |
aadcdn.msauth.netaadcdn.msftauth.netwww.msftconnecttest.com |
L'agente usa questi URL durante il processo di registrazione. |
Requisito NTLM
Non è consigliabile abilitare NTLM nel Windows Server che esegue l'agente di provisioning Microsoft Entra e, se è abilitato, assicurarsi di disabilitarlo.
Limitazioni note
Di seguito sono riportate le limitazioni note:
Sincronizzazione differenziale
- Il filtro dell'ambito del gruppo per la sincronizzazione differenziale non supporta più di 50.000 membri.
- Quando si elimina un gruppo utilizzato come filtro di ambito per un altro gruppo, gli utenti che sono membri del gruppo non vengono eliminati.
- Quando si rinomina l'unità organizzativa o il gruppo che rientra nell'ambito, la sincronizzazione differenziale non rimuove gli utenti.
Log di provisioning
- I log di provisioning non distinguono chiaramente le operazioni di creazione e aggiornamento. È possibile visualizzare un'operazione di creazione per un aggiornamento e un'operazione di aggiornamento per una creazione.
Ridenominazione dei gruppi o ridenominazione dell'unità organizzativa
- Se si rinomina un gruppo o un'unità organizzativa in Active Directory nell'ambito di una determinata configurazione, il processo di sincronizzazione cloud non è in grado di riconoscere la modifica del nome in ACTIVE Directory. Il lavoro non va in quarantena e rimane sano.
Filtro di definizione dell'ambito
Quando si usa il filtro di ambito dell'unità organizzativa
La configurazione dell'ambito ha una limitazione di 4 MB per il numero di caratteri. In un ambiente testato standard, questo si traduce in circa 50 unità organizzative separate (UNITÀ organizzative) o gruppi di sicurezza, inclusi i metadati necessari, per una determinata configurazione.
Sono supportate unità organizzative nidificate, ovvero è possibile sincronizzare un'unità organizzativa con 130 unità organizzative nidificate, ma non è possibile sincronizzare 60 unità organizzative separate nella stessa configurazione.
Nota
Al momento, non è possibile controllare la dimensione della configurazione dell'ambito per determinare se è vicino, raggiunto o superato il limite di 4 MB di caratteri totali, che include i metadati.
Sincronizzazione dell'hash delle password
- L'uso della sincronizzazione dell'hash delle password con InetOrgPerson non è supportato.