Concetti di gestione per account utente, password e amministrazione in Microsoft Entra Domain Services
Quando si crea ed esegue un dominio gestito di Microsoft Entra Domain Services, esistono alcune differenze di comportamento rispetto a un ambiente di Active Directory Domain Services locale tradizionale. Si usano gli stessi strumenti di amministrazione in Servizi di dominio di un dominio autogestito, ma non è possibile accedere direttamente ai controller di dominio. Esistono anche alcune differenze di comportamento per i criteri password e gli hash delle password a seconda dell'origine della creazione dell'account utente.
Questo articolo concettuale illustra in dettaglio come amministrare un dominio gestito e il diverso comportamento degli account utente a seconda del modo in cui vengono creati.
Gestione dei domini
Un dominio gestito è costituito da uno spazio dei nomi DNS e da una directory corrispondente. In un dominio gestito, i controller di dominio che contengono tutte le risorse come utenti e gruppi, credenziali e criteri fanno parte del servizio gestito. Per la ridondanza, due controller di dominio vengono creati come parte di un dominio gestito. Non è possibile accedere a questi controller di dominio per eseguire attività di gestione. Si crea invece una macchina virtuale di gestione aggiunta al dominio gestito, quindi si installano i normali strumenti di gestione di Active Directory Domain Services. È possibile usare gli snap-in Centro di amministrazione di Active Directory o Microsoft Management Console (MMC), ad esempio oggetti DNS o Criteri di gruppo.
Creazione dell'account utente
Gli account utente possono essere creati in un dominio gestito in diversi modi. La maggior parte degli account utente viene sincronizzata da Microsoft Entra ID, che può includere anche l'account utente sincronizzato da un ambiente di Active Directory Domain Services locale. È anche possibile creare manualmente account direttamente nel dominio gestito. Alcune funzionalità, ad esempio la sincronizzazione iniziale delle password o i criteri password, si comportano in modo diverso a seconda di come e dove vengono creati gli account utente.
- L'account utente può essere sincronizzato da Microsoft Entra ID. Sono inclusi gli account utente solo cloud creati direttamente in Microsoft Entra ID e gli account utente ibridi sincronizzati da un ambiente di Active Directory Domain Services locale tramite Microsoft Entra Connect.
- La maggior parte degli account utente in un dominio gestito viene creata tramite il processo di sincronizzazione da Microsoft Entra ID.
- L'account utente può essere creato manualmente in un dominio gestito e non esiste in Microsoft Entra ID.
- Se è necessario creare account di servizio per le applicazioni eseguite solo nel dominio gestito, è possibile crearli manualmente nel dominio gestito. Poiché la sincronizzazione è un modo da Microsoft Entra ID, gli account utente creati nel dominio gestito non vengono sincronizzati con Microsoft Entra ID.
Criteri password
Domain Services include un criterio password predefinito che definisce le impostazioni per elementi quali blocco dell'account, validità massima della password e complessità delle password. Le impostazioni come i criteri di blocco dell'account si applicano a tutti gli utenti di un dominio gestito, indipendentemente dalla modalità di creazione dell'utente come descritto nella sezione precedente. Alcune impostazioni, ad esempio la lunghezza minima della password e la complessità delle password, si applicano solo agli utenti creati direttamente in un dominio gestito.
È possibile creare criteri password personalizzati per eseguire l'override dei criteri predefiniti in un dominio gestito. Questi criteri personalizzati possono quindi essere applicati a gruppi specifici di utenti in base alle esigenze.
Per altre informazioni sulle differenze di applicazione dei criteri password a seconda dell'origine della creazione dell'utente, vedere Criteri di blocco delle password e degli account nei domini gestiti.
Hash delle password
Per autenticare gli utenti nel dominio gestito, Domain Services necessita degli hash delle password in un formato idoneo per l'autenticazione NTLM (NT LAN Manager) e Kerberos. Microsoft Entra ID non genera né archivia gli hash delle password nel formato necessario per l'autenticazione NTLM o Kerberos finché non si abilita Domain Services per il tenant. Per motivi di sicurezza, anche Microsoft Entra ID non archivia credenziali password in formato non crittografato. Pertanto, Microsoft Entra ID non può generare automaticamente questi hash delle password NTLM o Kerberos in base alle credenziali esistenti degli utenti.
Per gli account utente solo cloud, gli utenti devono modificare le password prima di poter usare il dominio gestito. Con questo processo di modifica delle password, in Microsoft Entra ID vengono generati e archiviati gli hash delle password per l'autenticazione Kerberos e NTLM. L'account non viene sincronizzato da Microsoft Entra ID a Domain Services fino a quando la password non viene modificata.
Per gli utenti sincronizzati da un ambiente di Active Directory Domain Services locale tramite Microsoft Entra Connect, abilitare la sincronizzazione degli hash delle password.
Importante
Microsoft Entra Connect sincronizza gli hash delle password legacy solo quando si abilita Servizi di dominio per il tenant di Microsoft Entra. Gli hash delle password legacy non vengono usati se si usa solo Microsoft Entra Connect per sincronizzare un ambiente Active Directory Domain Services locale con Microsoft Entra ID.
Se le applicazioni legacy non usano l'autenticazione NTLM o le associazioni semplici LDAP, è consigliabile disabilitare la sincronizzazione dell'hash delle password NTLM per Domain Services. Per altre informazioni, vedere Disabilitare i pacchetti di crittografia deboli e la sincronizzazione dell'hash delle credenziali NTLM.
Dopo la corretta configurazione, gli hash delle password utilizzabili vengono archiviati nel dominio gestito. Se si elimina il dominio gestito, verranno eliminati anche gli hash delle password archiviati in quel momento. Le informazioni sulle credenziali sincronizzate in Microsoft Entra ID non possono essere riutilizzate se in un secondo momento si crea un altro dominio gestito. È necessario riconfigurare la sincronizzazione dell'hash delle password per archiviare nuovamente gli hash delle password. Le macchine virtuali o gli utenti precedentemente aggiunti al domino non saranno in grado di eseguire immediatamente l'autenticazione. Microsoft Entra ID deve generare e archiviare gli hash delle password nel nuovo dominio gestito. Per altre informazioni, vedere Processo di sincronizzazione degli hash delle password per Domain Services e Microsoft Entra Connect.
Importante
Microsoft Entra Connect deve essere installato e configurato solo per la sincronizzazione con gli ambienti di Active Directory Domain Services locali. L'installazione di Microsoft Entra Connect in un dominio gestito per sincronizzare nuovamente gli oggetti con Microsoft Entra ID non è supportata.
Foreste e trust
Una foresta è un costrutto logico usato da Active Directory Domain Services (AD DS) per raggruppare uno o più domini. I domini archiviano quindi gli oggetti per utenti o gruppi e offrono servizi di autenticazione.
In Servizi di dominio la foresta contiene solo un dominio. Le foreste AD DS locali contengono spesso molti domini. Nelle organizzazioni di grandi dimensioni, soprattutto dopo fusioni e acquisizioni, è possibile che vi siano più foreste locali, ognuna delle quali con più domini.
Per impostazione predefinita, un dominio gestito sincronizza tutti gli oggetti da Microsoft Entra ID, inclusi tutti gli account utente creati in un ambiente Active Directory Domain Services locale. Gli account utente possono eseguire direttamente l'autenticazione nel dominio gestito, ad esempio per accedere a una macchina virtuale aggiunta a un dominio. Questo approccio funziona quando gli hash delle password possono essere sincronizzati e gli utenti non usano metodi di accesso esclusivi come l'autenticazione tramite smart card.
In Servizi di dominio è anche possibile creare un trust tra foreste con un altro dominio per consentire agli utenti di accedere alle risorse. A seconda dei requisiti di accesso, è possibile creare la relazione di trust tra foreste in diverse direzioni.
| Direzione del trust | Accesso utente |
|---|---|
| Bidirezionale | Consente agli utenti sia nel dominio gestito sia nel dominio locale di accedere alle risorse in entrambi i domini. |
| Unidirezionale in uscita | Consente agli utenti nel dominio locale di accedere alle risorse nel dominio gestito, ma non viceversa. |
| Unidirezionale in ingresso | Consente agli utenti nel dominio gestito di accedere alle risorse nel dominio locale. |
SKU di Servizi di dominio
In Servizi di dominio le prestazioni e le funzionalità disponibili sono basate sullo SKU. È possibile selezionare uno SKU quando si crea il dominio gestito ed è possibile cambiare SKU man mano che i requisiti aziendali cambiano dopo la distribuzione del dominio gestito. La tabella seguente illustra gli SKU disponibili e le differenze tra di essi:
| Nome SKU | Numero massimo di oggetti | Frequenza di backup |
|---|---|---|
| Standard | Illimitato | Ogni 5 giorni |
| Enterprise | Illimitato | Ogni 3 giorni |
| Premium | Illimitato | Giornaliero |
Prima di questi SKU di Servizi di dominio, è stato usato un modello di fatturazione basato sul numero di oggetti (account utente e computer) nel dominio gestito. Non sono più previsti prezzi variabili in base al numero di oggetti nel dominio gestito.
Per altre informazioni, vedere la pagina dei prezzi di Domain Services.
Prestazioni del dominio gestito
Le prestazioni del dominio variano in base alla modalità di implementazione dell'autenticazione per un'applicazione. Risorse di calcolo aggiuntive possono contribuire a migliorare il tempo di risposta delle query e ridurre il tempo impiegato nelle operazioni di sincronizzazione. Con l'aumentare del livello di SKU, le risorse di calcolo disponibili per il dominio gestito aumentano. Monitorare le prestazioni delle applicazioni e pianificare le risorse necessarie.
Se l'azienda o l'applicazione richiede modifiche e è necessaria una potenza di calcolo aggiuntiva per il dominio gestito, è possibile passare a uno SKU diverso.
Frequenza di backup
La frequenza di backup determina la frequenza con cui viene acquisito uno snapshot del dominio gestito. I backup sono un processo automatizzato gestito dalla piattaforma Azure. In caso di problemi con il dominio gestito, il supporto tecnico di Azure può fornire assistenza per il ripristino dal backup. Poiché la sincronizzazione si verifica solo in un modo rispetto all'ID Microsoft Entra, tutti i problemi in un dominio gestito non influisce sugli ambienti e sulle funzionalità di Active Directory Domain Services locali.
Man mano che il livello di SKU aumenta, aumenta la frequenza di tali snapshot di backup. Esaminare i requisiti aziendali e l'obiettivo del punto di ripristino (RPO) per determinare la frequenza di backup necessaria per il dominio gestito. Se i requisiti aziendali o dell'applicazione cambiano e sono necessari backup più frequenti, è possibile passare a uno SKU diverso.
Domain Services fornisce le indicazioni seguenti per i tempi di ripristino per diversi tipi di problemi:
- L'obiettivo del punto di ripristino (RPO) è l'intervallo di tempo massimo in cui si verifica una potenziale perdita di dati o transazioni da un evento imprevisto.
- L'oggetto tempo di ripristino (RTO) è l'intervallo di tempo di tempo di destinazione che si verifica prima che i livelli di servizio tornino operativi dopo un evento imprevisto.
| Problemi | RPO | RTO |
|---|---|---|
| Problemi causati dalla perdita o dal danneggiamento dei dati nei controller di dominio di Servizi di dominio, dai servizi dipendenti, da un exploit che ha compromesso il dominio o da altri eventi imprevisti che richiedono il ripristino di un controller di dominio. | Cinque giorni prima dell'occorrenza dell'evento | Da due ore a quattro giorni, a seconda delle dimensioni del tenant |
| Problemi identificati dalla diagnostica del dominio. | Zero (0 minuti) | Da due ore a quattro giorni, a seconda delle dimensioni del tenant |
Passaggi successivi
Per iniziare, creare un dominio gestito di Servizi di dominio.