Topologie per Microsoft Entra Connect

Questo articolo descrive varie topologie locali e Microsoft Entra che usano Microsoft Entra Connect Sync come soluzione di integrazione chiave. Questo articolo include le configurazioni supportate e non supportate.

Ecco la legenda delle immagini usate nell'articolo:

Descrizione Simbolo
Foresta locale di Active Directory Foresta locale di Active Directory
Active Directory locale con importazione con filtri Active Directory con importazione con filtri
Server di sincronizzazione Microsoft Entra Connect Server di sincronizzazione Microsoft Entra Connect
Server di sincronizzazione Microsoft Entra Connect "modalità di gestione temporanea" Server di sincronizzazione Microsoft Entra Connect
GALSync con Microsoft Identity Manager (MIM) 2016 GALSync con MIM 2016
Server di sincronizzazione Microsoft Entra Connect, dettagliato Server di sincronizzazione Microsoft Entra Connect, dettagliato
Microsoft Entra ID Microsoft Entra ID
Scenario non supportato Scenario non supportato

Importante

Microsoft non supporta la modifica o il funzionamento di Microsoft Entra Connect Sync all'esterno delle configurazioni o delle azioni documentate formalmente. Una di queste configurazioni o azioni potrebbe causare uno stato incoerente o non supportato di Microsoft Entra Connect Sync. Di conseguenza, Microsoft non può fornire supporto tecnico per tali distribuzioni.

Foresta singola, singolo tenant di Microsoft Entra

Topologia per una foresta singola e un tenant singolo

La topologia più comune è una singola foresta locale, con uno o più domini e un singolo tenant di Microsoft Entra. Per l'autenticazione di Microsoft Entra, viene usata la sincronizzazione dell'hash delle password. L'installazione rapida di Microsoft Entra Connect supporta solo questa topologia.

Foresta singola, più server di sincronizzazione in un tenant di Microsoft Entra

Topologia con filtri non supportata per una foresta singola

La presenza di più server di sincronizzazione Microsoft Entra Connect connessi allo stesso tenant di Microsoft Entra non è supportata, ad eccezione di un server di gestione temporanea. Non è supportato neanche se i server sono configurati per la sincronizzazione con un set di oggetti che si escludono a vicenda. Questa topologia potrebbe essere stata presa in considerazione se non è possibile raggiungere tutti i domini della foresta da un unico server o se si vuole distribuire il carico tra server diversi. Non si verificano errori quando viene configurato un nuovo server di sincronizzazione di Azure AD per una nuova foresta Microsoft Entra e un nuovo dominio figlio verificato.

Più foreste, singolo tenant di Microsoft Entra

Topologia per più foreste e un tenant singolo

In molte organizzazioni sono presenti ambienti con più foreste Active Directory locali. La presenza di più foreste Active Directory locali può essere dovuta a vari motivi. Esempi tipici sono costituiti da progettazioni con foreste di account-risorse e dai risultati di fusioni o acquisizioni.

Quando si dispone di più foreste, tutte le foreste devono essere raggiungibili da un singolo server di sincronizzazione Microsoft Entra Connect. Il server deve fare parte di un dominio. Se è necessario raggiungere tutte le foreste, è possibile inserire il server in una rete perimetrale.

L'installazione guidata di Microsoft Entra Connect offre diverse opzioni per consolidare gli utenti rappresentati in più foreste. L'obiettivo è che un utente viene rappresentato una sola volta in Microsoft Entra ID. Nell'installazione guidata sono disponibili alcune topologie comuni che è possibile configurare nel percorso di installazione personalizzato. Nella pagina Identificazione univoca per gli utenti selezionare l'opzione corrispondente che rappresenta la topologia. Il consolidamento viene configurato solo per gli utenti. I gruppi duplicati non vengono consolidati con la configurazione predefinita.

Le topologie comuni sono illustrate nelle sezioni su topologie separate, a rete completa e topologie account-risorse.

La configurazione predefinita in Microsoft Entra Connect Sync presuppone quanto segue:

  • Ogni utente ha solo un account abilitato e la foresta in cui si trova l'account viene usata per l'autenticazione dell'utente. Questo presupposto riguarda la sincronizzazione dell'hash delle password, l'autenticazione pass-through e la federazione. userPrincipalName e sourceAnchor o immutableID provengono da questa foresta.
  • Ogni utente ha solo una cassetta postale.
  • La foresta che ospita la cassetta postale di un utente garantisce la migliore qualità dei dati per gli attributi visibili nell'Elenco indirizzi globale di Exchange. Se non è presente una cassetta postale per l'utente, è possibile usare qualsiasi foresta per recuperare questi valori di attributi.
  • Se è disponibile una cassetta postale collegata, è presente anche un account in una foresta diversa usato per l'accesso.

Se l'ambiente non soddisfa questi presupposti, si verifica quanto segue:

  • Se sono presenti più account attivi o più cassette postali, il motore di sincronizzazione ne seleziona uno e ignora gli altri.
  • Una cassetta postale collegata senza altri account attivi non viene esportata in Microsoft Entra ID. L'account utente non è rappresentato come membro in alcun gruppo. Una cassetta postale collegata in DirSync viene sempre rappresentata come cassetta postale normale. Questa modifica introduce un comportamento diverso per migliorare il supporto degli scenari a più foreste.

Per altre informazioni, vedere Informazioni sulla configurazione predefinita.

Più foreste, più server di sincronizzazione in un tenant di Microsoft Entra

Topologia non supportata per più foreste e più server di sincronizzazione

La connessione di più server di sincronizzazione Microsoft Entra Connect a un singolo tenant di Microsoft Entra non è supportata. Fa eccezione l'uso di un server di gestione temporanea.

Questa topologia è diversa da quella seguente, in quanto più server di sincronizzazione connessi a un singolo tenant di Microsoft Entra non sono supportati. (Anche se non supportato, funziona ancora.

Più foreste, un unico server di sincronizzazione, utenti rappresentati in una sola directory

Opzione per rappresentare gli utenti solo una volta in tutte le directory

Immagine di più foreste e topologie separate

In questo ambiente tutte le foreste locali vengono considerate entità separate. Nessun utente è presente in nessuna altra foresta. Ogni foresta presenta un'organizzazione Exchange dedicata e non viene effettuata alcuna sincronizzazione dell'elenco di indirizzi globale (GALSync) tra le foreste. Questa topologia può presentarsi dopo una fusione o acquisizione o in un'organizzazione in cui ogni business unit opera in modo indipendente. Queste foreste si trovano nella stessa organizzazione in Microsoft Entra ID e vengono visualizzate con un elenco indirizzi globale unificato (GAL). Nell'immagine precedente ogni oggetto in ogni foresta viene rappresentato una volta nel metaverse e aggregato nel tenant Microsoft Entra di destinazione.

Più foreste: corrispondenze con utenti

Tutti gli scenari hanno in comune il fatto che i gruppi di distribuzione e di sicurezza possono contenere una combinazione di utenti, contatti ed entità di sicurezza esterne. Le entità di sicurezza esterne vengono usate in Active Directory Domain Services (AD DS) per rappresentare i membri di altre foreste in un gruppo di sicurezza. Tutti i file FSP vengono risolti nell'oggetto reale in Microsoft Entra ID.

Più foreste: a maglia completa con GALSync facoltativo

Opzione per usare l'attributo Mail per trovare la corrispondenza quando le identità utenti sono presenti in più directory

Topologia a maglia completa per più foreste

Una topologia a maglia completa consente di individuare utenti e risorse in qualsiasi foresta. In genere esistono trust bidirezionali tra le foreste.

Se Exchange è presente in più di una foresta, potrebbe essere disponibile (facoltativamente) una soluzione GALSync locale. Ogni utente viene quindi rappresentato come un contatto in tutte le altre foreste. GALSync viene comunemente implementato tramite Microsoft Identity Manager. Non è possibile usare Microsoft Entra Connect per GALSync locale.

In questo scenario, gli oggetti relativi all'identità vengono aggiunti tramite l'attributo Mail. Un utente che ha una cassetta postale in una foresta viene aggiunto ai contatti nelle altre foreste.

Più foreste, foresta di tipo account-risorse

Opzione per usare gli attributi ObjectSID e msExchMasterAccountSID per trovare la corrispondenza quando le identità sono presenti in più directory

Topologia di foresta di tipo account-risorse per più foreste

In una topologia di foresta account-risorse sono presenti una o più foreste account con account utente attivi. Sono anche presenti una o più foreste risorse con account disabilitati.

In questo scenario una o più foreste risorse considerano attendibili tutte le foreste account. La foresta risorse presenta in genere uno schema di Active Directory esteso con Exchange e Lync. Tutti i servizi Exchange e Lync, con altri servizi condivisi, si trovano in questa foresta. Gli utenti hanno un account utente disabilitato in questa foresta e la cassetta postale è collegata alla foresta account.

Considerazioni su Microsoft 365 e topologia

Alcuni carichi di lavoro di Microsoft 365 hanno alcune restrizioni sulle topologie supportate:

Carico di lavoro Restrizioni
Exchange Online Per altre informazioni sulle topologie ibride supportate da Exchange Online, vedere Distribuzioni ibride con più insiemi di strutture di Active Directory.
Skype for Business Quando si usano più foreste locali, sarà supportata solo la topologia di tipo foresta account-risorse. Per altre informazioni, vedere Requisiti ambientali di Skype for Business Server 2015.

Se si è un'organizzazione di dimensioni maggiori, è consigliabile usare la funzionalità PreferredDataLocation di Microsoft 365. che consente di definire l'area del data center in cui si trovano le risorse dell'utente.

server di gestione temporanea

Server di staging in una topologia

Microsoft Entra Connect supporta l'installazione di un secondo server in modalità di gestione temporanea. Un server in questa modalità legge dati da tutte le directory connesse, ma non vi esegue operazioni di scrittura. Usa il normale ciclo di sincronizzazione e ha quindi a disposizione una copia aggiornata dei dati di identità.

In una situazione di emergenza in cui si verifica un errore nel server primario è possibile eseguire il failover nel server di staging. Questa operazione viene eseguita nella procedura guidata di Microsoft Entra Connect. Il secondo server può trovarsi in un data center diverso perché nessuna infrastruttura viene condivisa con il server primario. Eventuali modifiche di configurazione apportate al server primario devono essere copiate manualmente nel secondo server.

È possibile usare un server di staging per testare una nuova configurazione personalizzata e il relativo effetto sui dati. È possibile visualizzare l'anteprima delle modifiche e perfezionare la configurazione. Dopo aver ottenuto la configurazione ottimale, sarà possibile rendere attivo il server di staging e impostare il server attivo precedente sulla modalità di staging.

È anche possibile usare questo metodo per sostituire il server di sincronizzazione attivo. Preparare il nuovo server e impostarlo in modalità di staging. Verificarne lo stato di integrità, disabilitare la modalità di staging rendendolo attivo e arrestare il server attivo corrente.

Per avere a disposizione più backup in data center diversi, è possibile avere più di un server di staging.

Più tenant di Microsoft Entra

È consigliabile avere un singolo tenant in Microsoft Entra ID per un'organizzazione. Prima di pianificare l'uso di più tenant di Microsoft Entra, vedere l'articolo Gestione delle unità amministrative in Microsoft Entra ID. che illustra gli scenari comuni in cui è possibile usare un singolo tenant.

Sincronizzare gli oggetti DI ACTIVE Directory in più tenant di Microsoft Entra

Diagramma che mostra una topologia di più tenant di Microsoft Entra.

Questa topologia implementa i casi d'uso seguenti:

  • Microsoft Entra Connect può sincronizzare gli utenti, i gruppi e i contatti da un singolo Active Directory a più tenant di Microsoft Entra. Questi tenant possono trovarsi in ambienti di Azure diversi, ad esempio Microsoft Azure gestito dall'ambiente 21Vianet o dall'ambiente Azure per enti pubblici, ma possono anche trovarsi nello stesso ambiente di Azure, ad esempio due tenant che si trovano entrambi in Azure Commercial. Per altre informazioni sulle opzioni, vedere Pianificazione dell'identità per le applicazioni Azure per enti pubblici.
  • Lo stesso ancoraggio di origine può essere usato per un singolo oggetto in tenant separati (ma non per più oggetti nello stesso tenant). Il dominio verificato non può essere lo stesso in due tenant. Sono necessari altri dettagli per consentire allo stesso oggetto di avere due UPN.
  • Sarà necessario distribuire un server Microsoft Entra Connect per ogni tenant di Microsoft Entra a cui si vuole eseguire la sincronizzazione. Un server Microsoft Entra Connect non può eseguire la sincronizzazione con più tenant di Microsoft Entra.
  • È supportato avere ambiti di sincronizzazione diversi e regole di sincronizzazione diverse per tenant diversi.
  • È possibile configurare una sola sincronizzazione tenant di Microsoft Entra per eseguire il writeback in Active Directory per lo stesso oggetto. Sono inclusi il writeback di dispositivi e gruppi e le configurazioni di Exchange ibrido. Queste funzionalità possono essere configurate solo in un tenant. L'unica eccezione è il writeback delle password. Vedere di seguito.
  • È supportato configurare la sincronizzazione dell'hash delle password da Active Directory a più tenant di Microsoft Entra per lo stesso oggetto utente. Se la sincronizzazione dell'hash delle password è abilitata per un tenant, è possibile abilitare anche il writeback delle password e questa operazione può essere eseguita in più tenant: se la password viene modificata in un tenant, il writeback delle password lo aggiornerà in Active Directory e la sincronizzazione dell'hash delle password aggiornerà la password negli altri tenant.
  • Non è supportato aggiungere e verificare lo stesso nome di dominio personalizzato in più tenant di Microsoft Entra, anche se questi tenant si trovano in ambienti di Azure diversi.
  • Non è supportato configurare esperienze ibride che utilizzano la configurazione a livello di foresta in AD, ad esempio Seamless SSO e Microsoft Entra hybrid join (approccio non mirato), con più tenant. In questo modo si sovrascriverebbe la configurazione dell'altro tenant, rendendola non più utilizzabile. Per altre informazioni, vedere Pianificare la distribuzione dell'aggiunta ibrida a Microsoft Entra.
  • È possibile sincronizzare gli oggetti dispositivo con più tenant, ma un dispositivo può essere aggiunto ibrido a Microsoft Entra a un solo tenant.
  • Ogni istanza di Microsoft Entra Connect deve essere in esecuzione in un computer aggiunto a un dominio.

Nota

La sincronizzazione elenco indirizzi globale non viene eseguita automaticamente in questa topologia ed è necessaria un'implementazione MIM personalizzata aggiuntiva, in modo che ogni tenant abbia un elenco indirizzi globale in Exchange Online e Skype for Business Online.

GALSync tramite l'uso di writeback

Topologia non supportata per più foreste e più directory, con GALSync incentrato su Microsoft Entra ID Topologia non supportata per più foreste e più directory, con GALSync incentrato su Active Directory locale

GALSync con server di sincronizzazione locale

GALSync in una topologia per più foreste e più directory

È possibile usare Microsoft Identity Manager locale per sincronizzare gli utenti (tramite GALSync) tra due organizzazioni di Exchange. Gli utenti di un'organizzazione vengono visualizzati come utenti/contatti esterni nell'altra organizzazione. Queste diverse istanze di Active Directory locale possono quindi essere sincronizzate con i propri tenant di Microsoft Entra.

Uso di client non autorizzati per accedere al back-end di Microsoft Entra Connect

Uso di client non autorizzati per accedere al back-end di Microsoft Entra Connect

Il server Microsoft Entra Connect comunica con Microsoft Entra ID tramite il back-end Microsoft Entra Connect. L'unico software che può essere usato per comunicare con questo back-end è Microsoft Entra Connect. Non è supportata la comunicazione con il back-end Microsoft Entra Connect usando qualsiasi altro software o metodo.

Passaggi successivi

Per informazioni su come installare Microsoft Entra Connect per questi scenari, vedere Installazione personalizzata di Microsoft Entra Connect.

Ulteriori informazioni sulla configurazione della sincronizzazione di Microsoft Entra Connect.

Altre informazioni sull'integrazione di identità locali con Microsoft Entra ID.