Effettuare il provisioning di Active Directory in Microsoft Entra ID - Configurazione

  • Articolo

Il documento seguente illustra come configurare Microsoft Entra Cloud Sync per il provisioning da Active Directory a Microsoft Entra ID. Per informazioni sul provisioning da Microsoft Entra ID ad AD, vedere Configurare - Provisioning di Active Directory in Microsoft Entra ID con Microsoft Entra Cloud Sync

La documentazione seguente illustra la nuova esperienza utente guidata per Microsoft Entra Cloud Sync.

Per altre informazioni e un esempio di come configurare la sincronizzazione cloud, vedere il video seguente.

Configurare il provisioning

Per configurare il provisioning, seguire questa procedura.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un Amministrazione istrator ibrido.
  2. Passare a Gestione ibrida delle identità>>Microsoft Entra Connessione> SyncCloud.Screenshot della home page della sincronizzazione cloud.
  1. Selezionare Nuova configurazione.
  2. Selezionare AD per la sincronizzazione di Microsoft Entra ID.Screenshot dell'aggiunta di una configurazione.
  3. Nella schermata di configurazione selezionare il dominio e se abilitare la sincronizzazione dell'hash delle password. Fare clic su Crea.

Screenshot di una nuova configurazione.

  1. Verrà visualizzata la schermata Attività iniziali . Da qui è possibile continuare a configurare la sincronizzazione cloud.

Screenshot della schermata introduttiva.

  1. La configurazione viene suddivisa nelle 5 sezioni seguenti.
Sezione Descrizione
1. Aggiungere filtri di ambito Usare questa sezione per definire gli oggetti visualizzati in Microsoft Entra ID
2. Eseguire il mapping degli attributi Usare questa sezione per eseguire il mapping degli attributi tra utenti/gruppi locali con gli oggetti Microsoft Entra
3. Test Testare la configurazione prima di distribuirla
4. Visualizzare le proprietà predefinite Visualizzare l'impostazione predefinita prima di abilitarle e apportare modifiche dove appropriato
5. Abilitare la configurazione Una volta pronti, abilitare la configurazione e utenti/gruppi inizierà la sincronizzazione

Nota

Durante il processo di configurazione, l'account del servizio di sincronizzazione verrà creato con il formato ADToAADSyncServiceAccount@[TenantID].onmicrosoft.com ed è possibile che venga visualizzato un errore se l'autenticazione a più fattori è abilitata per l'account del servizio di sincronizzazione o altri criteri di autenticazione interattiva vengono abilitati accidentalmente per l'account di sincronizzazione. La rimozione dell'autenticazione a più fattori o dei criteri di autenticazione interattiva per l'account del servizio di sincronizzazione deve risolvere l'errore ed è possibile completare la configurazione senza problemi.

Ambito del provisioning in utenti e gruppi specifici

Per impostazione predefinita, l'agente di provisioning sincronizza un subset di utenti e gruppi da Active Directory. È possibile definire ulteriormente l'ambito dell'agente per sincronizzare utenti e gruppi specifici usando Active Directory locale gruppi o unità organizzative.

Screenshot dell'icona dei filtri di ambito.

È possibile configurare gruppi e unità organizzative all'interno di una configurazione.

Nota

Non è possibile usare gruppi annidati con ambito di gruppo. Gli oggetti annidati oltre il primo livello non verranno inclusi durante la definizione dell'ambito usando i gruppi di sicurezza. Usare solo il filtro dell'ambito del gruppo per gli scenari pilota, in quanto esistono limitazioni per la sincronizzazione di gruppi di grandi dimensioni.

  1. Nella schermata Introduzione alla configurazione. Fare clic su Aggiungi filtri di ambito accanto all'icona Aggiungi filtri di ambito oppure fare clic su Filtri di ambito a sinistra in Gestisci.

Screenshot dei filtri di ambito.

  1. Selezionare il filtro di ambito. Il filtro può essere uno dei seguenti:
    • Tutti gli utenti: definisce l'ambito della configurazione da applicare a tutti gli utenti che vengono sincronizzati.
    • Gruppi di sicurezza selezionati: definisce l'ambito della configurazione da applicare a gruppi di sicurezza specifici.
    • Unità organizzative selezionate: definisce l'ambito della configurazione da applicare a unità organizzative specifiche.
  2. Per i gruppi di sicurezza e le unità organizzative, specificare il nome distinto appropriato e fare clic su Aggiungi.
  3. Dopo aver configurato i filtri di ambito, fare clic su Salva.
  4. Dopo il salvataggio, verrà visualizzato un messaggio che indica cosa è ancora necessario fare per configurare la sincronizzazione cloud. È possibile fare clic sul collegamento per continuare. Screenshot del nudge per i filtri di ambito.
  5. Dopo aver modificato l'ambito, è necessario riavviare il provisioning per avviare una sincronizzazione immediata delle modifiche.

Mapping attributi

Microsoft Entra Cloud Sync consente di eseguire facilmente il mapping degli attributi tra gli oggetti utente/gruppo locali e gli oggetti in Microsoft Entra ID.

Screenshot dell'icona degli attributi della mappa.

È possibile personalizzare i mapping degli attributi predefiniti in base alle esigenze aziendali. Quindi è possibile modificare o eliminare i mapping degli attributi esistenti oppure crearne di nuovi.

Screenshot dei mapping degli attributi predefiniti.

Dopo il salvataggio, verrà visualizzato un messaggio che indica cosa è ancora necessario fare per configurare la sincronizzazione cloud. È possibile fare clic sul collegamento per continuare. Screenshot del nudge per i filtri degli attributi.

Per altre informazioni, vedere Mapping degli attributi.

Estensioni della directory e mapping di attributi personalizzati.

Microsoft Entra Cloud Sync consente di estendere la directory con estensioni e fornisce il mapping degli attributi personalizzato. Per altre informazioni, vedere Estensioni della directory e mapping di attributi personalizzati.

Provisioning su richiesta

Microsoft Entra Cloud Sync consente di testare le modifiche di configurazione applicando queste modifiche a un singolo utente o gruppo.

Screenshot dell'icona del test.

È possibile usarlo per convalidare e verificare che le modifiche apportate alla configurazione siano state applicate correttamente e siano sincronizzate correttamente con Microsoft Entra ID.

Screenshot del provisioning su richiesta.

Dopo il test, verrà visualizzato un messaggio che indica cosa è ancora necessario fare per configurare la sincronizzazione cloud. È possibile fare clic sul collegamento per continuare. Screenshot del nudge per il test.

Per altre informazioni, vedere Provisioning su richiesta.

Eliminazioni accidentali e notifiche tramite posta elettronica

La sezione delle proprietà predefinite fornisce informazioni sulle eliminazioni accidentali e le notifiche tramite posta elettronica.

Screenshot dell'icona delle proprietà predefinite.

La funzionalità di eliminazione accidentale è progettata per proteggere l'utente da modifiche accidentali alla configurazione e alle modifiche apportate alla directory locale che influirebbero su molti utenti e gruppi.

Questa funzionalità consente di:

  • configurare la possibilità di impedire eliminazioni accidentali automaticamente.
  • Impostare il numero di oggetti (soglia) oltre il quale la configurazione avrà effetto
  • configurare un indirizzo di posta elettronica di notifica in modo che possano ricevere una notifica tramite posta elettronica dopo che il processo di sincronizzazione in questione viene messo in quarantena per questo scenario

Per altre informazioni, vedere Eliminazioni accidentali

Fare clic sulla matita accanto a Informazioni di base per modificare le impostazioni predefinite in una configurazione.

Screenshot delle nozioni di base.

Abilitare la configurazione

Dopo aver finalizzato e testato la configurazione, è possibile abilitarla.

Screenshot dell'icona rivedi e abilita.

Fare clic su Abilita configurazione per abilitarla.

Screenshot dell'abilitazione di una configurazione.

Quarantena

La sincronizzazione cloud monitora l'integrità della configurazione e inserisce oggetti non integri in uno stato di quarantena. Se la maggior parte o tutte le chiamate effettuate sul sistema di destinazione hanno esito negativo in modo coerente a causa di un errore, ad esempio credenziali di amministratore non valide, il processo di sincronizzazione viene contrassegnato come in quarantena. Per altre informazioni, vedere la sezione relativa alla risoluzione dei problemi relativa alle quarantena.

Riavviare il provisioning

Se non si vuole attendere l'esecuzione pianificata successiva, attivare l'esecuzione del provisioning usando il pulsante Riavvia sincronizzazione .

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un Amministrazione istrator ibrido.
  2. Passare a Gestione ibrida delle identità>>Microsoft Entra Connessione> SyncCloud.Screenshot della home page della sincronizzazione cloud.
  1. In Configurazione selezionare la configurazione.

Screenshot del riavvio della sincronizzazione.

  1. Nella parte superiore selezionare Riavvia sincronizzazione.

Rimuovere una configurazione

Per eliminare una configurazione, seguire questa procedura.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un Amministrazione istrator ibrido.
  2. Passare a Gestione ibrida delle identità>>Microsoft Entra Connessione> SyncCloud.Screenshot della home page della sincronizzazione cloud.
  1. In Configurazione selezionare la configurazione.

Screenshot dell'eliminazione.

  1. Nella parte superiore della schermata di configurazione selezionare Elimina configurazione.

Importante

Non viene visualizzata alcuna conferma prima di eliminare una configurazione. Assicurarsi che questa sia l'azione che si vuole eseguire prima di selezionare Elimina.

Passaggi successivi