Pianificare, progettare e implementare Microsoft Entra Connect

  • 12 minuti

Microsoft Entra Connect è una soluzione che collega l'Active Directory locale di un'organizzazione al Microsoft Entra ID basato sul cloud. L'IT può sincronizzare le identità dall'ambiente locale ad Azure e garantisce un'identità coerente in entrambe le piattaforme. Questa connessione abilita servizi come la sincronizzazione dell'hash delle password, l'autenticazione pass-through e l'accesso Single Sign-On (SSO) facile.

Microsoft Entra Connect è lo strumento di Microsoft progettato per soddisfare e raggiungere gli obiettivi relativi alla soluzione ibrida di gestione delle identità. La gestione dei record offre le funzionalità seguenti:

  • Sincronizzazione: responsabile della creazione di utenti, gruppi e altri oggetti. Assicurarsi quindi che le informazioni sull'identità per gli utenti e i gruppi locali corrispondano al cloud. Questa sincronizzazione include anche gli hash delle password.
  • Sincronizzazione dell'hash delle password: metodo di accesso che sincronizza un hash della password di AD locale di un utente con l'ID Microsoft Entra.
  • Autenticazione pass-through: metodo di accesso che consente agli utenti di usare la stessa password in locale e nel cloud, ma non richiede l'infrastruttura aggiuntiva di un ambiente federato.
  • Integrazione della federazione: la federazione è una parte facoltativa di Microsoft Entra Connect e può essere usata per configurare un ambiente ibrido usando un'infrastruttura AD FS locale. Fornisce anche funzionalità di gestione di Active Directory Federation Services (AD FS), ad esempio rinnovo dei certificati e distribuzioni aggiuntive di server AD FS.
  • Monitoraggio della salute: Microsoft Entra Connect Health fornisce un monitoraggio affidabile.

Perché usare Microsoft Entra Connect?

L'integrazione delle directory locali con Microsoft Entra ID rende gli utenti più produttivi fornendo un'identità comune per l'accesso alle risorse cloud e locali. Con Microsoft Entra Connect, gli utenti possono usare una singola identità per accedere alle applicazioni locali e ai servizi cloud, ad esempio Microsoft 365. Inoltre, le organizzazioni possono offrire un'esperienza di distribuzione semplice per la sincronizzazione e l'accesso usando un unico strumento. Microsoft Entra Connect sostituisce le versioni precedenti degli strumenti di integrazione delle identità; ed è incluso nell'abbonamento a Microsoft Entra ID.

Selezionare un metodo di autenticazione

L'identità è il nuovo piano di controllo della sicurezza IT, quindi l'autenticazione è la protezione dell'accesso di un'organizzazione al nuovo mondo cloud. Le organizzazioni hanno bisogno di un piano di controllo delle identità che ne rafforzi la sicurezza e tenga le app cloud al riparo dalle intrusioni. Quando la soluzione ibrida di gestione delle identità di Microsoft Entra è il nuovo piano di controllo dell’azienda, l'autenticazione è la base indispensabile dell'accesso al cloud. La scelta del metodo di autenticazione corretto è una decisione fondamentale per la configurazione di una soluzione di gestione delle identità ibrida di Microsoft Entra. Per scegliere un metodo di autenticazione è necessario prendere in considerazione il tempo, l'infrastruttura esistente, la complessità e i costi di implementazione della propria scelta. Questi fattori variano in base all'organizzazione e possono cambiare nel corso del tempo.

Autenticazione cloud

Quando si sceglie questo metodo di autenticazione, Microsoft Entra ID gestisce il processo di accesso degli utenti. Quando si usa l'accesso Single Sign-On (SSO) facile, gli utenti possono accedere alle app cloud senza dover immettere nuovamente le credenziali. Con l'autenticazione cloud è possibile scegliere tra due opzioni:

Sincronizzazione dell'hash delle password di Microsoft Entra. Il modo più semplice per abilitare l'autenticazione per gli oggetti directory locali in Microsoft Entra. Gli utenti possono usare lo stesso nome utente e la stessa password usati in locale senza dover distribuire altre infrastrutture.

  • Sforzo : la sincronizzazione dell'hash delle password richiede il minimo sforzo per quanto riguarda la distribuzione, la manutenzione e l'infrastruttura. Questo livello di sforzo si applica in genere alle organizzazioni che hanno solo bisogno di permettere agli utenti di accedere a Microsoft 365, alle app SaaS e ad altre risorse basate su Microsoft Entra ID. Quando è attivata, la sincronizzazione dell'hash delle password fa parte del processo di sincronizzazione Microsoft Entra Connect ed esegue ogni due minuti.
  • Esperienza utente : per migliorare l'esperienza di accesso degli utenti, distribuire l'accesso Single Sign-On facile con la sincronizzazione dell'hash delle password. Seamless SSO elimina i prompt non necessari dopo che gli utenti hanno eseguito l'accesso.
  • Scenari avanzati. Se le organizzazioni scelgono di farlo, è possibile utilizzare approfondimenti derivati dalle identità con i report di Microsoft Entra Identity Protection, disponibili con Microsoft Entra ID Premium P2. un esempio è il report sulle credenziali trapelate. Windows Hello for Business prevede requisiti specifici quando si usa la sincronizzazione dell'hash delle password. Microsoft Entra Domain Services richiede la sincronizzazione dell'hash delle password per creare utenti con le credenziali aziendali nel dominio gestito.
  • Continuità aziendale - L'uso della sincronizzazione dell'hash delle password con l'autenticazione cloud è a disponibilità elevata come servizio cloud che viene ridimensionato in tutti i data center Microsoft. Per avere la certezza che la sincronizzazione dell'hash delle password non resti inattiva per lunghi periodi di tempo, distribuire un secondo server Microsoft Entra Connect in modalità di staging in una configurazione di standby.
  • Considerazioni : attualmente, la sincronizzazione dell'hash delle password non applica immediatamente le modifiche negli stati dell'account locale. In questo caso, un utente ha accesso alle app cloud fino a quando lo stato dell'account utente non viene sincronizzato con Microsoft Entra ID. Per superare questa limitazione, le organizzazioni possono eseguire un nuovo ciclo di sincronizzazione dopo gli aggiornamenti in blocco agli stati degli account utente locali effettuati dagli amministratori, come ad esempio la disabilitazione di account.

Autenticazione pass-through (PTA) di Microsoft Entra. Fornisce una semplice convalida della password per i servizi di autenticazione di Microsoft Entra utilizzando un agente software in esecuzione su uno o più server locali. I server convalidano gli utenti direttamente con Active Directory locale, assicurando che la convalida della password non venga eseguita nel cloud. Le aziende che per questioni di sicurezza devono applicare immediatamente gli stati degli account utente locali, i criteri di gestione delle password e gli orari di accesso possono usare questo metodo di autenticazione.

  • Sforzo : per l'autenticazione pass-through, sono necessari uno o più agenti leggeri (è consigliabile tre) installati nei server esistenti. Questi agenti devono avere accesso ad Active Directory Domain Services locale, inclusi i controller di dominio AD locali. Richiedono inoltre l'accesso in uscita a Internet e l'accesso ai controller di dominio. Per questo motivo la distribuzione degli agenti in una rete perimetrale non è supportata.
  • Esperienza utente : per migliorare l'esperienza di accesso degli utenti, distribuire l'accesso Single Sign-On facile con l'autenticazione pass-through. Seamless SSO elimina le richieste non necessarie dopo l'accesso degli utenti.
  • Scenari avanzati - L'autenticazione pass-through applica i criteri account locali al momento dell'accesso. Ad esempio, l'accesso viene negato quando lo stato dell'account di un utente locale è disabilitato, bloccato o la password scade. L'accesso può essere negato anche se il tentativo di accesso non rientra nelle ore in cui l'utente è autorizzato ad accedere.
  • Continuità aziendale : è consigliabile distribuire due agenti di autenticazione pass-through aggiuntivi. Questi extra si aggiungono al primo agente nel server Microsoft Entra Connect. Questa distribuzione garantisce la disponibilità elevata delle richieste di autenticazione. Quando hai tre agenti, un agente può comunque fallire quando un altro è inattivo per manutenzione.
  • Considerazioni: è possibile usare la sincronizzazione dell'hash delle password come metodo di autenticazione di backup per l'autenticazione pass-through quando gli agenti non possono convalidare le credenziali di un utente a causa di un errore locale significativo. La procedura di trasferimento alla sincronizzazione degli hash delle password non avviene automaticamente; è necessario utilizzare Microsoft Entra Connect per modificare manualmente il metodo di accesso.

Autenticazione federata

Quando si sceglie questo metodo di autenticazione, Microsoft Entra ID esegue il processo di autenticazione in un sistema di autenticazione attendibile separato, ad esempio Active Directory Federation Services (AD FS) locale, per convalidare la password dell'utente. Il sistema di autenticazione può fornire altri requisiti di autenticazione avanzati. Esempi sono l'autenticazione basata su smart card o l'autenticazione a più fattori di terze parti.

  • Sforzo : un sistema di autenticazione federato si basa su un sistema attendibile esterno per autenticare gli utenti. Alcune aziende desiderano riutilizzare il proprio investimento nel sistema federato esistente con la propria soluzione di identità ibrida Microsoft Entra. La manutenzione e la gestione del sistema federato non rientra nel controllo di Microsoft Entra ID. È compito dell'organizzazione assicurarsi che il sistema federato usato venga implementato in modo sicuro e sia in grado di gestire il carico di autenticazione.

  • Esperienza utente : l'esperienza utente dell'autenticazione federata dipende dall'implementazione delle funzionalità, della topologia e della configurazione della farm federativa. Alcune organizzazioni hanno bisogno di questa flessibilità per adattare e configurare l'accesso alla farm federativa in base alle proprie esigenze di sicurezza. Ad esempio, è possibile configurare gli utenti e i dispositivi connessi internamente perché effettuino l'accesso automaticamente, senza richiedere l'immissione di credenziali. Questa configurazione funziona perché hanno già acceduto ai propri dispositivi. Se necessario, alcune funzionalità di sicurezza avanzate possono complicare la procedura di accesso degli utenti.

  • Scenari avanzati : una soluzione di autenticazione federata è necessaria quando i clienti hanno un requisito di autenticazione che Microsoft Entra ID non supporta in modo nativo.

    • Autenticazione che richiede smart card o certificati.
    • Server MFA locali o provider a più fattori di terze parti che richiedono un provider di identità federato.
    • Autenticazione tramite soluzioni di autenticazione di terze parti.
    • L'accesso richiede un sAMAccountName, ad esempio DOMINIO\nome utente, anziché un Nome principale utente (UPN), ad esempio user@domain.com.

  • Continuità aziendale : i sistemi federati richiedono in genere una matrice con carico bilanciato di server, nota come farm. Questa farm è configurata in una topologia di rete interna e perimetrale per garantire la disponibilità elevata per le richieste di autenticazione.

  • Considerazioni: i sistemi federati richiedono in genere un investimento più significativo nell'infrastruttura locale. La maggior parte delle organizzazioni sceglie questa opzione se ha già investito in un sistema di federazione locale e se l'uso di un singolo provider di identità è un requisito aziendale imprescindibile. La federazione prevede modalità d'uso e risoluzione dei problemi più complesse rispetto alle soluzioni di autenticazione cloud.

Diagrammi dell'architettura

I diagrammi seguenti definiscono i componenti dell'architettura generale necessari per ogni metodo di autenticazione che è possibile usare con la soluzione ibrida di gestione delle identità di Microsoft Entra. Questi diagrammi forniscono una panoramica utile per confrontare le differenze tra le soluzioni.

  • Semplicità della soluzione di sincronizzazione dell'hash delle password:

    Screenshot dell'identità ibrida di Microsoft Entra con la sincronizzazione dell'hash delle password abilitata.

  • Requisiti dell'autenticazione pass-through a livello di agente, con due agenti per la ridondanza:

    Schermata dell'identità di Microsoft Entra ibrida con l'autenticazione pass-through abilitata.

  • Componenti necessari per la federazione nella rete interna e perimetrale dell'organizzazione:

    Cattura di schermata dell'identità ibrida di Microsoft Entra con l'autenticazione federata selezionata.

Recommendations

Il sistema di gestione delle identità garantisce agli utenti l'accesso alle app cloud e alle app line-of-business di cui si esegue la migrazione e la disponibilità nel cloud. Per mantenere gli utenti autorizzati produttivi e tenere lontani i malintenzionati dai dati sensibili dell'organizzazione, l'autenticazione controlla l'accesso alle app.

Usare o abilitare la sincronizzazione dell'hash delle password per qualsiasi metodo di autenticazione scelto, per i motivi seguenti:

  • Disponibilità elevata e ripristino di emergenza : l'autenticazione pass-through e la federazione si basano sull'infrastruttura locale. Per l'autenticazione pass-through, il footprint locale include l'hardware del server e la rete di cui necessitano gli agenti di autenticazione pass-through. Per la federazione, la presenza locale è ancora più estesa. Richiede infatti che i server nella rete perimetrale inoltrino tramite proxy le richieste di autenticazione ai server federativi interni. Per evitare singoli punti di guasto, distribuire server ridondanti. Le richieste di autenticazione verranno sempre soddisfatte anche in caso di guasto di un componente. Sia l'autenticazione pass-through che la federazione fanno anche affidamento sui controller di dominio, anch'essi soggetti a guasti, per rispondere alle richieste di autenticazione. Molti di questi componenti hanno bisogno di manutenzione per conservare uno stato di integrità. Le interruzioni si verificano con maggiore probabilità quando la manutenzione non viene pianificata e implementata correttamente. Evita interruzioni utilizzando la sincronizzazione dell'hash delle password perché il servizio di autenticazione cloud di Microsoft Entra viene ridimensionato a livello globale ed è sempre disponibile.

  • Sopravvivenza dell'interruzione locale : le conseguenze di un'interruzione locale a causa di un attacco informatico o di un'emergenza possono essere sostanziali, dal danno del marchio di reputazione a un'organizzazione paralizzata in grado di gestire l'attacco. Recentemente, molte organizzazioni sono state vittime di attacchi di malware, inclusi ransomware mirati, che hanno reso inattivi i server locali. Nel fornire il proprio supporto ai clienti che devono affrontare questi tipi di attacchi, Microsoft ha notato due categorie di organizzazioni:

    • Organizzazioni che avevano attivato la sincronizzazione dell'hash delle password con l'autenticazione federata o pass-through e che cambiano il metodo di autenticazione principale. Possono quindi usare la sincronizzazione dell'hash delle password. Sono tornati online in poche ore. Usando l'accesso alla posta elettronica tramite Microsoft 365, hanno lavorato per risolvere i problemi e accedere ad altri carichi di lavoro basati sul cloud.
    • Le organizzazioni che in precedenza non abilitavano la sincronizzazione dell'hash delle password dovevano ricorrere a sistemi di posta elettronica di consumer esterni non attendibili per la risoluzione dei problemi. In questi casi, ci sono volute settimane per ripristinare l'infrastruttura di identità locale prima che gli utenti potessero accedere di nuovo alle applicazioni cloud.

  • Protezione delle identità : uno dei modi migliori per proteggere gli utenti nel cloud è Microsoft Entra Identity Protection con Microsoft Entra Premium P2. Microsoft esegue continuamente l'analisi di Internet alla ricerca degli elenchi di nomi utente e password venduti e resi disponibili sul dark web dai malintenzionati. Microsoft Entra ID può utilizzare queste informazioni per verificare se uno dei nomi utente e delle password dell'organizzazione è compromesso. È pertanto essenziale abilitare la sincronizzazione dell'hash delle password indipendentemente dal metodo di autenticazione usato, che si tratti di autenticazione federata o pass-through. Le credenziali trapelate vengono presentate come un report. Usare queste informazioni per impedire o imporre agli utenti di cambiare la password quando cercano di accedere con una password persa.

Concetti di progettazione di Microsoft Entra Connect

Questa sezione descrive le aree da considerare durante la progettazione dell'implementazione di Microsoft Entra Connect. Si tratta di un approfondimento su determinate aree e questi concetti sono brevemente descritti anche in altri documenti.

sourceAnchor

L'attributo sourceAnchor viene definito come un attributo immutabile durante il ciclo di vita di un oggetto. Identifica in modo univoco un oggetto come lo stesso oggetto in locale e in Microsoft Entra ID. L'attributo è detto anche immutableId e i due nomi vengono usati intercambiabili. L'attributo viene usato per gli scenari seguenti:

  • Quando viene compilato o ricompilato un nuovo server del motore di sincronizzazione dopo uno scenario di ripristino di emergenza, questo attributo collega gli oggetti esistenti in Microsoft Entra ID con oggetti locali.
  • Se si passa da un'identità solo cloud a un modello di identità sincronizzato, tale attributo consente agli oggetti di "trovare la perfetta corrispondenza" tra gli oggetti esistenti in Microsoft Entra ID e oggetti locali.
  • Se si usa la federazione, questo attributo viene usato insieme a userPrincipalName nell'attestazione per identificare in modo univoco un utente.

Il valore dell'attributo deve rispettare le regole seguenti:

  • Lunghezza inferiore a 60 caratteri

    • I caratteri che non sono a-z, A-Z o 0-9 vengono codificati e conteggiati come tre caratteri

  • Non contiene un carattere speciale: \ ! # $ % & * + / = ? ^ { } | ~ > < ( ) ' ; : , [ ] " @ _

  • Deve essere univoco a livello globale

  • Deve essere una stringa, un valore intero o un numero binario

  • Non deve essere basato sul nome dell'utente perché i nomi possono cambiare

  • Non deve fare distinzione tra maiuscole e minuscole né contenere valori che variano in base alle maiuscole/minuscole

  • Deve essere assegnato quando viene creato l'oggetto

Se si dispone di una singola foresta locale, l'attributo da usare è objectGuid. È anche possibile usare l'attributo objectGuid quando si usano le impostazioni rapide in Microsoft Entra Connect. E anche l'attributo usato da DirSync. Se si dispone di più foreste e non si spostano utenti tra foreste e domini, objectGUID è un buon attributo da usare. Un'altra soluzione consiste nello scegliere un attributo esistente che si sa che non cambierà. Uno degli attributi più comunemente usati è employeeID. Se si prende in considerazione un attributo che contiene lettere, assicurarsi che non ci sia alcuna possibilità che le lettere maiuscole e/o minuscole usate per il valore dell'attributo possano cambiare. Gli attributi negativi sono quelli che contengono il nome dell'utente. Dopo aver deciso l'attributo sourceAnchor, la procedura guidata archivia le informazioni nel tenant di Microsoft Entra. Le informazioni verranno usate da un'installazione futura di Microsoft Entra Connect.

Accesso a Microsoft Entra

Le impostazioni di sincronizzazione dell'integrazione della directory locale con Microsoft Entra ID possono influire sul modo in cui l'utente esegue l'autenticazione. Microsoft Entra usa userPrincipalName (UPN) per autenticare l'utente. Quando si sincronizzano gli utenti è tuttavia necessario scegliere con attenzione l'attributo da usare per userPrincipalName. Quando si seleziona l'attributo per fornire il valore di UPN da usare in Azure, è necessario assicurarsi che

  • I valori degli attributi sono conformi alla sintassi UPN (RFC 822), il formato username@domain
  • Il suffisso nei valori corrisponde a uno dei domini personalizzati verificati in Microsoft Entra ID

Nelle impostazioni rapide come attributo deve essere scelto userPrincipalName. Se l'attributo userPrincipalName non contiene il valore che gli utenti desiderano accedere ad Azure, è necessario scegliere Installazione personalizzata.

Stato del dominio personalizzato e Nome principale utente

Assicurarsi che sia presente un dominio verificato per il suffisso del Nome principale utente (UPN). John è un utente di contoso.com. Si vuole che John usi l'UPN john@contoso.com locale per accedere ad Azure dopo aver sincronizzato gli utenti con la directory di Microsoft Entra contoso.onmicrosoft.com. A tale scopo, è necessario aggiungere e verificare contoso.com come dominio personalizzato in Microsoft Entra ID prima di iniziare a sincronizzare gli utenti. Se il suffisso UPN di John, ad esempio contoso.com, non corrisponde a un dominio verificato in Microsoft Entra ID, lo strumento sostituisce il suffisso UPN con contoso.onmicrosoft.com.

Alcune organizzazioni hanno domini non instradabili, ad esempio contoso.local o domini con etichetta singola semplici come contoso. Non è possibile verificare un dominio non instradabile. Microsoft Entra Connect può eseguire la sincronizzazione solo con un dominio verificato in Microsoft Entra ID. Quando si crea una directory Microsoft Entra, viene creato un dominio instradabile che diventa dominio predefinito per Microsoft Entra ID, ad esempio contoso.onmicrosoft.com. Si rende quindi necessario verificare eventuali altri domini instradabili nello stesso scenario, nel caso in cui non si voglia eseguire la sincronizzazione con il dominio .onmicrosoft.com predefinito.

Microsoft Entra Connect rileva se si trova in un ambiente di dominio non instradabile e avvisa in modo appropriato di non procedere con le impostazioni rapide. Se si usa un dominio non instradabile, è probabile che l'UPN, degli utenti, abbia anche un suffisso non instradabile. Ad esempio, se si esegue in contoso.local, Microsoft Entra Connect suggerisce di usare impostazioni personalizzate anziché usare le impostazioni rapide. Usando le impostazioni personalizzate, è possibile specificare l'attributo che deve essere usato come UPN per accedere ad Azure dopo che gli utenti sono sincronizzati con Microsoft Entra ID.

Topologie per Microsoft Entra Connect

In questa sezione vengono descritte varie topologie locali e MICROSOFT Entra ID che usano la sincronizzazione Microsoft Entra Connect come soluzione di integrazione chiave; include configurazioni supportate e non supportate.

Topologia comune Description
Una sola foresta, un solo tenant di Microsoft Entra La topologia più comune è una singola foresta locale, con uno o più domini e un singolo tenant di Microsoft Entra. Per l'autenticazione, viene usata la sincronizzazione dell'hash delle password. L'installazione rapida di Microsoft Entra Connect supporta solo questa topologia.
Più foreste, singolo tenant di Microsoft Entra In molte organizzazioni sono presenti ambienti con più foreste Active Directory locali. La presenza di più foreste Active Directory locali può essere dovuta a vari motivi. Esempi tipici sono le configurazioni con foreste di tipo account-risorse e il risultato di fusioni o acquisizioni. Quando si dispone di più foreste, tutte le foreste devono essere raggiungibili da un singolo server di sincronizzazione Microsoft Entra Connect. Il server deve fare parte di un dominio. Se è necessario raggiungere tutte le foreste, è possibile inserire il server in una rete perimetrale (nota anche come DMZ, zona demilitarizzata e subnet schermata).
Più foreste, un unico server di sincronizzazione, utenti rappresentati in una sola directory In questo ambiente tutte le foreste locali vengono considerate entità separate. Nessun utente è presente in nessuna altra foresta. Ogni foresta presenta un'organizzazione Exchange dedicata e non viene effettuata alcuna sincronizzazione dell'elenco di indirizzi globale (GALSync) tra le foreste. Questa topologia può presentarsi dopo una fusione o acquisizione o in un'organizzazione in cui ogni business unit opera in modo indipendente. Queste foreste si trovano nella stessa organizzazione in Microsoft Entra ID e vengono visualizzate con un elenco indirizzi globale unificato (GAL). Nell'immagine precedente, ogni oggetto in ogni foresta viene rappresentato una volta nel metaverso e aggregato nel tenant di destinazione.
Più foreste: rete completa con GALSync facoltativo Una topologia a maglia completa consente di individuare utenti e risorse in qualsiasi foresta. Solitamente esistono relazioni di fiducia bidirezionali tra le foreste. Se Exchange è presente in più di una foresta, potrebbe essere disponibile (facoltativamente) una soluzione GALSync locale. Ogni utente viene quindi rappresentato come un contatto in tutte le altre foreste. GALSync viene comunemente implementato tramite FIM 2010 o MIM 2016. Microsoft Entra Connect non può essere usato per GALSync locale.
Più foreste, foresta di tipo account-risorse In questo scenario, una o più foreste di risorse considerano attendibili tutte le foreste di account. La foresta di risorse ha in genere uno schema esteso di Active Directory con Exchange e Teams. Tutti i servizi di Exchange e Teams, insieme ad altri servizi condivisi, si trovano in questa foresta. In questa foresta gli utenti hanno un account utente disabilitato e la cassetta postale è collegata alla foresta dell'account.
Server di staging Microsoft Entra Connect supporta l'installazione di un secondo server in modalità di gestione temporanea. Un server in questa modalità legge i dati da tutte le directory connesse, ma non scrive nulla nelle directory connesse. Usa il normale ciclo di sincronizzazione e ha quindi a disposizione una copia aggiornata dei dati di identità.
Più tenant di Microsoft Entra Esiste una relazione 1:1 tra un server di sincronizzazione Microsoft Entra Connect e un tenant. Per ogni tenant di Microsoft Entra, è necessaria un'installazione del server di sincronizzazione Microsoft Entra Connect. Le istanze del tenant di Active Directory sono isolate in base alla progettazione. Ovvero, gli utenti in un tenant non possono visualizzare gli utenti nell'altro tenant. La separazione degli utenti è una configurazione supportata. In caso contrario, è necessario usare il singolo modello di tenant Microsoft Entra.
Ogni oggetto una sola volta in un tenant di Microsoft Entra In questa topologia, un server di sincronizzazione Microsoft Entra Connect è connesso a ogni tenant. I server di sincronizzazione di Microsoft Entra Connect devono essere configurati per il filtraggio, in modo che ognuno abbia un set di oggetti esclusivi su cui operare. È ad esempio possibile definire l'ambito di ogni server in un dominio o in un'unità organizzativa specifica.

Fattori del componente Microsoft Entra Connect

Il diagramma seguente mostra un'architettura generale del motore di provisioning che si connette a una singola foresta, anche se sono supportate più foreste. Questa architettura illustra l'interazione tra i vari componenti.

Diagramma dell'interazione tra le directory connesse e il motore di provisioning di Microsoft Entra Connect. Include i componenti Spazio connettore e Metaverse in un database SQL.

Il motore di provisioning si connette a ogni foresta di Active Directory e a Microsoft Entra ID. Il processo di lettura delle informazioni da ogni directory viene chiamato importazione. L'esportazione si riferisce all'aggiornamento delle directory da parte del motore di provisioning. La sincronizzazione valuta le regole di flusso degli oggetti all'interno del motore di provisioning.

Microsoft Entra Connect usa le aree di gestione temporanea, le regole e i processi seguenti per consentire la sincronizzazione da Active Directory a Microsoft Entra ID:

  • Spazio connettore (CS): gli oggetti di ogni directory connessa, cioè le directory effettive, vengono inseriti qui temporaneamente prima che possano essere elaborati dal motore di provisioning. Microsoft Entra ID ha il proprio CS e ogni foresta a cui ci si connette avrà il proprio CS.
  • Metaverse (MV): gli oggetti che devono essere sincronizzati vengono creati qui in base alle regole di sincronizzazione. Gli oggetti devono esistere nel metaverse prima che sia possibile popolare gli oggetti e gli attributi nelle altre directory connesse. C'è solo un MV.
  • Regole di sincronizzazione : determinano quali oggetti verranno creati (proiettati) o connessi (uniti) agli oggetti nella MV. Le regole di sincronizzazione decidono anche quali valori di attributo verranno copiati o trasformati in e dalle directory.
  • Profili di esecuzione: aggregano i passaggi del processo di copia degli oggetti e dei valori degli attributi in base alle regole di sincronizzazione tra le aree di staging e le directory connesse.

Sincronizzazione cloud di Microsoft Entra

La sincronizzazione cloud di Microsoft Entra Connect è progettata per raggiungere obiettivi di identità ibrida per la sincronizzazione di utenti, gruppi e contatti con Microsoft Entra ID. La sincronizzazione viene eseguita usando l'agente di provisioning cloud anziché l'applicazione Microsoft Entra Connect. Può essere usato insieme alla sincronizzazione Microsoft Entra Connect e offre i vantaggi seguenti:

  • Supporto per la sincronizzazione con un tenant di Microsoft Entra da un ambiente con più foreste di Active Directory disconnesse: gli scenari comuni includono fusioni ed acquisizioni. Le foreste di Active Directory dell'azienda acquisita sono isolate dalle foreste di Active Directory della società madre. Lo stesso vale per le aziende che storicamente hanno avuto più foreste di Active Directory.
  • Installazione semplificata con agenti di provisioning leggeri: Gli agenti fungono da bridge da AD a Microsoft Entra ID, con tutta la configurazione di sincronizzazione gestita nel cloud.
  • È possibile usare più agenti di provisioning per semplificare le distribuzioni a disponibilità elevata, fondamentali per le organizzazioni che si basano sulla sincronizzazione dell'hash delle password da AD a Microsoft Entra ID.
  • Supporto per gruppi di grandi dimensioni con un massimo di cinquantamila membri. Durante la sincronizzazione di gruppi di grandi dimensioni è consigliabile usare solo il filtro di definizione dell'ambito delle unità organizzative.

Diagramma del flusso di processo che mostra elementi di Active Directory locali, ad esempio utenti e gruppi sincronizzati nel cloud da Cloud Sync.

Con la sincronizzazione cloud di Microsoft Entra Connect, il provisioning da AD a Microsoft Entra ID viene orchestrato in Microsoft Online Services. Un'organizzazione deve solo distribuire, nell'ambiente locale o in hosting su IaaS, un agente leggero che funga da bridge tra Microsoft Entra ID e AD. La configurazione del provisioning viene archiviata e gestita come parte del servizio. Promemoria che la sincronizzazione viene eseguita ogni 2 minuti.