Preparare la sincronizzazione della directory con Microsoft 365

Questo articolo si applica sia a Microsoft 365 Enterprise che a Office 365 Enterprise.

Se è stato scelto il modello di identità ibrido e la protezione configurata per gli account amministratore nel passaggio 2 e gli account utente nel passaggio 3 di questa soluzione, l'attività successiva consiste nel distribuire la sincronizzazione della directory. I vantaggi della sincronizzazione della directory per l'organizzazione includono:

  • Riduzione dei programmi amministrativi nell'organizzazione
  • Facoltativamente, abilitare lo scenario di accesso Single Sign-On
  • Automazione delle modifiche degli account in Microsoft 365

Per altre informazioni sui vantaggi dell'uso della sincronizzazione della directory, vedere Identità ibrida con ID Microsoft Entra.

Tuttavia, la sincronizzazione della directory richiede la pianificazione e la preparazione per garantire che il Active Directory Domain Services (AD DS) sincronizzi con il tenant Microsoft Entra della sottoscrizione di Microsoft 365 con un minimo di errori.

Seguire questi passaggi per ottenere i risultati migliori.

Nota

I caratteri non ASCII non si sincronizzano per gli attributi nell'account utente di Active Directory Domain Services.

Preparazione di Servizi di dominio Active Directory

Per garantire una transizione senza problemi a Microsoft 365 usando la sincronizzazione, è necessario preparare la foresta di Active Directory Domain Services prima di iniziare la distribuzione della sincronizzazione della directory di Microsoft 365.

La preparazione della directory deve concentrarsi sulle attività seguenti:

  • Rimuovere gli attributi proxyAddress e userPrincipalName duplicati.

  • Aggiornare attributi userPrincipalName vuoti e non validi con attributi userPrincipalName validi.

  • Rimuovere caratteri non validi e discutibili negli attributi givenName, surname ( sn ), sAMAccountName, displayName, mail, proxyAddresses, mailNickname e userPrincipalName . Per informazioni dettagliate sulla preparazione degli attributi, vedere Elenco degli attributi sincronizzati dallo strumento di sincronizzazione di Azure Active Directory.

    Nota

    Questi sono gli stessi attributi che Microsoft Entra Connect sincronizza.

Considerazioni sulla distribuzione a più foreste

Per più foreste e opzioni SSO, usare un'installazione personalizzata di Microsoft Entra Connect.

Se l'organizzazione dispone di più foreste per l'autenticazione (foreste di accesso), è consigliabile quanto segue:

  • Valutare la possibilità di consolidare le foreste. In generale, è necessario un sovraccarico maggiore per gestire più foreste. A meno che l'organizzazione non abbia vincoli di sicurezza che determinano la necessità di foreste separate, è consigliabile semplificare l'ambiente locale.
  • Usare solo nella foresta di accesso primaria. Prendere in considerazione la distribuzione di Microsoft 365 solo nella foresta di accesso primaria per l'implementazione iniziale di Microsoft 365.

Se non è possibile consolidare la distribuzione di Servizi di dominio Active Directory a più foreste o se si usano altri servizi directory per gestire le identità, è possibile sincronizzarle con l'aiuto di Microsoft o di un partner.

Per altre informazioni, vedere Topologie per Microsoft Entra Connect.

Funzionalità che dipendono dalla sincronizzazione della directory

La sincronizzazione della directory è necessaria per le funzionalità e le funzionalità seguenti:

  • Microsoft Entra Single Sign-On (SSO) facile
  • Coesistenza di Skype
  • Distribuzione ibrida di Exchange, tra cui:
    • Elenco indirizzi globale completamente condiviso tra l'ambiente Exchange locale e Microsoft 365.
    • Sincronizzazione delle informazioni dell'elenco indirizzi globale da diversi sistemi di posta elettronica.
    • Possibilità di aggiungere e rimuovere utenti dalle offerte di servizio di Microsoft 365. Ciò richiede quanto segue:
      • La sincronizzazione bidirezionale deve essere configurata durante l'installazione della sincronizzazione della directory. Per impostazione predefinita, gli strumenti di sincronizzazione della directory scrivono informazioni sulla directory solo nel cloud. Quando si configura la sincronizzazione bidirezionale, si abilita la funzionalità di writeback in modo che un numero limitato di attributi dell'oggetto venga copiato dal cloud e quindi riscritto nel servizio Active Directory Domain Services locale. Il writeback viene anche definito modalità ibrida di Exchange.
    • Distribuzione ibrida di Exchange locale.
    • Possibilità di spostare alcune cassette postali utente in Microsoft 365 mantenendo le altre cassette postali degli utenti in locale.
    • I mittenti attendibili e i mittenti bloccati in locale vengono replicati in Microsoft 365.
    • Delega di base e funzionalità di posta elettronica send-on-behalf-of.
    • Si dispone di una soluzione di autenticazione a più fattori o smart card locale integrata.
  • Sincronizzazione di foto, anteprime, sale conferenze e gruppi di sicurezza

1. Attività di pulizia della directory

Prima di sincronizzare Active Directory Domain Services con il tenant Microsoft Entra, è necessario pulire Active Directory Domain Services.

Importante

Se non si esegue la pulizia di Active Directory Domain Services prima di eseguire la sincronizzazione, può avere un impatto negativo significativo sul processo di distribuzione. Potrebbero essere necessari giorni o persino settimane per eseguire il ciclo di sincronizzazione della directory, l'identificazione dei relativi errori e la ripetizione della sincronizzazione.

In Servizi di dominio Active Directory completare le attività di pulizia seguenti per ogni account utente a cui verrà assegnata una licenza di Microsoft 365:

  1. Verificare un indirizzo di posta elettronica valido e univoco nell'attributo proxyAddresses .

  2. Rimuovere tutti i valori duplicati nell'attributo proxyAddresses.

  3. Se possibile, verificare un valore valido e univoco per l'attributo userPrincipalName nell'oggetto utente dell'utente . Per un'esperienza di sincronizzazione ottimale, assicurarsi che l'UPN di Servizi di dominio Active Directory corrisponda all'UPN Microsoft Entra. Se un utente non ha un valore per l'attributo userPrincipalName , l'oggetto utente deve contenere un valore valido e univoco per l'attributo sAMAccountName . Rimuovere tutti i valori duplicati nell'attributo userPrincipalName.

  4. Per un uso ottimale dell'elenco indirizzi globale, assicurarsi che le informazioni negli attributi seguenti dell'account utente di Active Directory Domain Services siano corrette:

    • givenName
    • surname
    • displayName
    • Professione
    • Reparto
    • Ufficio
    • Telefono ufficio
    • Cellulare
    • Numero fax
    • Via e numero civico
    • Città
    • Stato o provincia
    • CAP
    • Paese

2. Preparazione dell'oggetto directory e dell'attributo

La corretta sincronizzazione della directory tra Active Directory Domain Services e Microsoft 365 richiede che gli attributi di Active Directory Domain Services siano preparati correttamente. Ad esempio, è necessario assicurarsi che caratteri specifici non vengano usati in determinati attributi sincronizzati con l'ambiente Microsoft 365. I caratteri imprevisti non causano errori di sincronizzazione della directory, ma potrebbero restituire un avviso. I caratteri non validi sono responsabili dell'esito negativo della sincronizzazione della directory.

La sincronizzazione della directory avrà esito negativo anche se alcuni utenti di Active Directory Domain Services hanno uno o più attributi duplicati. Ogni utente deve avere attributi univoci.

Gli attributi che è necessario preparare sono elencati di seguito:

  • displayName

    • Se l'attributo esiste nell'oggetto utente, viene sincronizzato con Microsoft 365.
    • A un attributo presente nell'oggetto utente deve corrispondere un valore. Ovvero, l'attributo non deve essere vuoto.
    • Numero massimo di caratteri: 256
  • givenName

    • Se l'attributo esiste nell'oggetto utente, viene sincronizzato con Microsoft 365, ma Microsoft 365 non lo richiede o lo usa.
    • Numero massimo di caratteri: 64
  • posta elettronica

    • Il valore dell'attributo deve essere univoco all'interno della directory.

      Nota

      Se sono presenti valori duplicati, il primo utente con il valore viene sincronizzato. Gli utenti successivi non verranno visualizzati in Microsoft 365. È necessario modificare il valore in Microsoft 365 o modificare entrambi i valori in Active Directory Domain Services affinché entrambi gli utenti vengano visualizzati in Microsoft 365.

  • mailNickname (alias di Exchange)

    • Il valore dell'attributo non può iniziare con un punto (.).

    • Il valore dell'attributo deve essere univoco all'interno della directory.

      Nota

      Caratteri di sottolineatura ("") nel nome sincronizzato indica che il valore originale di questo attributo contiene caratteri non validi. Per altre informazioni su questo attributo, vedere Attributo alias di Exchange.

  • Proxyaddresses

    • Attributo multivalore

    • Numero massimo di caratteri per valore: 256

    • Il valore dell'attributo non deve contenere uno spazio.

    • Il valore dell'attributo deve essere univoco all'interno della directory.

    • Caratteri non validi: <> ( ) ; , [ ] "

    • Le lettere con segni diacritici, ad esempio umlauts, accenti e tilde, non sono caratteri validi.

      I caratteri non validi si applicano ai caratteri che seguono il delimitatore di tipo e ":", in modo che SMTP:User@contso.com sia consentito, ma SMTP:user:M@contoso.com non lo è.

      Importante

      Tutti gli indirizzi SMTP (Simple Mail Transport Protocol) devono essere conformi agli standard di messaggistica di posta elettronica Rimuovere indirizzi duplicati o indesiderati, se presenti.

  • Samaccountname

    • Numero massimo di caratteri: 20
    • Il valore dell'attributo deve essere univoco all'interno della directory.
    • Caratteri non validi: [ \ " | , / : <> + = ; ? * ']
    • Se un utente ha un attributo sAMAccountName non valido ma ha un attributo userPrincipalName valido, l'account utente viene creato in Microsoft 365.
    • Se sAMAccountName e userPrincipalName non sono validi, è necessario aggiornare l'attributo userPrincipalName di ACTIVE Directory Domain Services.
  • sn (cognome)

    • Se l'attributo esiste nell'oggetto utente, viene sincronizzato con Microsoft 365, ma Microsoft 365 non lo richiede o lo usa.
  • Targetaddress

    È necessario che l'attributo targetAddress (ad esempio SMTP:tom@contoso.com) popolato per l'utente venga visualizzato nell'elenco indirizzi globale di Microsoft 365. Negli scenari di migrazione della messaggistica di terze parti, ciò richiederebbe l'estensione dello schema di Microsoft 365 per Active Directory Domain Services. L'estensione dello schema di Microsoft 365 aggiungerebbe anche altri attributi utili per gestire gli oggetti di Microsoft 365 popolati tramite uno strumento di sincronizzazione della directory di Active Directory Domain Services. Verrebbe ad esempio aggiunto l'attributo msExchHideFromAddressLists per gestire i gruppi di distribuzione o le cassette postali nascoste.

    • Numero massimo di caratteri: 256
    • Il valore dell'attributo non deve contenere uno spazio.
    • Il valore dell'attributo deve essere univoco all'interno della directory.
    • Caratteri non validi: \ <> ( ) ; , [ ] "
    • Tutti gli indirizzi SMTP (Simple Mail Transport Protocol) devono essere conformi agli standard di messaggistica di posta elettronica
  • Userprincipalname

    • L'attributo userPrincipalName deve essere nel formato di accesso in stile Internet in cui il nome utente è seguito dal simbolo di accesso (@) e da un nome di dominio, user@contoso.comad esempio . Tutti gli indirizzi SMTP (Simple Mail Transport Protocol) devono essere conformi agli standard di messaggistica di posta elettronica
    • Il numero massimo di caratteri per l'attributo userPrincipalName è 113. È consentito un numero specifico di caratteri prima e dopo il simbolo di chiocciola (@), come riportato di seguito:
    • Numero massimo di caratteri per il nome utente che si trova davanti al segno di accesso (@): 64
    • Numero massimo di caratteri per il nome di dominio dopo il simbolo chiocciola (@): 48
    • Caratteri non validi: \ % & * + / = ? { } | <> ( ) ; : , [ ] "
    • Caratteri consentiti: A – Z, a - z, 0 – 9, ' . - _ ! # ^ ~
    • Le lettere con segni diacritici, ad esempio umlauts, accenti e tilde, non sono caratteri validi.
    • Il carattere @ è necessario in ogni valore userPrincipalName.
    • Il carattere @ non può essere il primo carattere in ogni valore userPrincipalName .
    • Il nome utente non può terminare con un punto (.), una e commerciale (&), uno spazio o un segno di accesso (@).
    • Il nome utente non può contenere spazi.
    • I domini instradabili devono essere usati; Ad esempio, non è possibile usare domini locali o interni.
    • Unicode viene convertito in caratteri di sottolineatura.
    • userPrincipalName non può contenere valori duplicati nella directory.

3. Preparare l'attributo userPrincipalName

Active Directory è progettato per consentire agli utenti finali dell'organizzazione di accedere alla directory usando sAMAccountName o userPrincipalName. Analogamente, gli utenti finali possono accedere a Microsoft 365 usando il nome dell'entità utente (UPN) del proprio account aziendale o dell'istituto di istruzione. La sincronizzazione della directory tenta di creare nuovi utenti nell Microsoft Entra ID usando lo stesso UPN presente in Servizi di dominio Active Directory. L'UPN viene formattato come un indirizzo di posta elettronica.

In Microsoft 365, l'UPN è l'attributo predefinito usato per generare l'indirizzo di posta elettronica. È facile ottenere userPrincipalName (in Active Directory Domain Services e nell'ID Microsoft Entra) e l'indirizzo di posta elettronica primario in proxyAddresses impostato su valori diversi. Quando sono impostati su valori diversi, può esserci confusione per gli amministratori e gli utenti finali.

È consigliabile allineare questi attributi per ridurre la confusione. Per soddisfare i requisiti dell'accesso Single Sign-On con Active Directory Federation Services (AD FS) 2.0, è necessario assicurarsi che gli UPN nell'ID Microsoft Entra e nei servizi di dominio Active Directory corrispondano e utilizzino uno spazio dei nomi di dominio valido.

4. Aggiungere un suffisso UPN alternativo ad Active Directory Domain Services

Potrebbe essere necessario aggiungere un suffisso UPN alternativo per associare le credenziali aziendali dell'utente all'ambiente Microsoft 365. Il suffisso UPN è la parte di un UPN che si trova a destra del carattere @. Gli UPN utilizzati per Single Sign-On possono includere lettere, numeri, punti, trattini e caratteri di sottolineatura, ma nessun altro tipo di carattere.

Per altre informazioni su come aggiungere un suffisso UPN alternativo ad Active Directory, vedere Preparare la sincronizzazione della directory.

5. Associare l'UPN di Active Directory Domain Services all'UPN di Microsoft 365

Se è già stata configurata la sincronizzazione della directory, l'UPN dell'utente per Microsoft 365 potrebbe non corrispondere all'UPN di Servizi di dominio Active Directory dell'utente definito in Servizi di dominio Active Directory. Questa condizione può verificarsi quando a un utente è stata assegnata una licenza prima della verifica del dominio. Per risolvere il problema, usare PowerShell per correggere l'UPN duplicato per aggiornare l'UPN dell'utente per assicurarsi che l'UPN di Microsoft 365 corrisponda al nome utente e al dominio aziendali. Se si aggiorna l'UPN in Active Directory Domain Services e si vuole che sincronizzi con l'identità Microsoft Entra, è necessario rimuovere la licenza dell'utente in Microsoft 365 prima di apportare le modifiche in Servizi di dominio Active Directory.

Vedere anche Come preparare un dominio non instradabile (ad esempio un dominio locale) per la sincronizzazione della directory.

Passaggi successivi

Dopo aver completato i passaggi da 1 a 5, vedere Configurare la sincronizzazione della directory.