Account necessari per la configurazione e la verifica di una soluzione ibrida

SI APPLICA A:yes-img-132013 yes-img-162016 yes-img-192019 yes-img-seSubscription Edition yes-img-sopSharePoint in Microsoft 365

Quando si configura un ambiente ibrido di SharePoint Server, sono necessari diversi account utente sia in Active Directory locale che in Microsoft 365. Questi account inoltre necessitano di autorizzazioni e appartenenze a gruppi o ruoli diverse. Alcuni di questi account vengono utilizzati per distribuire e configurare il software, altri invece vengono utilizzati per testare funzionalità specifiche per garantire il corretto funzionamento dei sistemi di sicurezza e autenticazione.

In un ambiente ibrido, alcuni o tutti gli account utente in Active Directory sono sincronizzati con i servizi directory di Microsoft Entra. Questi account vengono indicati come utenti federati. SharePoint Server e SharePoint in Microsoft 365 sono configurati con una relazione di trust da server a server (S2S) e le applicazioni di servizio possono essere configurate per consentire agli utenti federati di accedere al contenuto e alle risorse da entrambe le farm usando una singola identità. Poiché gli account utente e le credenziali sono sincronizzati tra SharePoint Server e SharePoint in Microsoft 365, la sicurezza del contenuto dell'elenco e della raccolta può essere applicata in entrambe le farm usando lo stesso set di utenti e gruppi.

Nota

[!NOTA] In questa tabella non sono inclusi gli account di servizio, che potrebbero prevedere requisiti specifici per le applicazioni di servizio e le funzionalità in alcune soluzioni ibride di SharePoint Server. Per ulteriori informazioni sui requisiti per ogni soluzione supportata, vedere gli articoli relativi alla configurazione delle soluzioni in Configurare una soluzione ibrida per SharePoint Server.

Microsoft consiglia di usare i ruoli con il minor numero di autorizzazioni. L'uso di account con autorizzazioni inferiori consente di migliorare la sicurezza per l'organizzazione. Amministratore globale è un ruolo con privilegi elevati che deve essere limitato agli scenari di emergenza quando non è possibile usare un ruolo esistente.

Tabella: account necessari per la configurazione e la verifica di una soluzione ibrida di SharePoint

Account Provider di identità Ruolo
Amministratore globale
Microsoft 365 e Microsoft Entra ID
Usare un account di lavoro di Microsoft 365 assegnato al ruolo amministratore globale per le attività di configurazione di Microsoft 365, ad esempio la configurazione di SharePoint nelle funzionalità di Microsoft 365, l'esecuzione di Microsoft Entra ID e SharePoint nei comandi di Microsoft 365 PowerShell e il test di SharePoint in Microsoft 365.
Amministratore di dominio ACTIVE Directory
Active Directory locale
Utilizzare un account Active Directory nel gruppo Domain Admins per configurare e testare Active Directory, ADFS, DNS e i certificati e per eseguire altre attività che richiedono l'elevazione di privilegi.
Amministratore della farm di SharePoint in Microsoft 365
Active Directory locale
Usare un account AD nel gruppo Amministratori farm di SharePoint in Microsoft 365 per le attività di configurazione di SharePoint Server, ad esempio l'esecuzione di comandi di PowerShell in SharePoint in Microsoft 365 Management Shell per configurare i trust S2S, creare e configurare applicazioni Web e raccolte siti, distribuire e configurare database di SQL Server e risolvere i problemi di SharePoint Server.
Questo account deve avere anche privilegi aggiuntivi per usare SharePoint in Microsoft 365 Management Shell:
Appartenenza al ruolo predefinito del server securityadmin nell'istanza di SQL Server.
Appartenenza al ruolo predefinito del database db_owner in tutti i database da aggiornare.
Appartenenza al gruppo Administrators nel server in cui vengono eseguiti i cmdlet di PowerShell.
Utenti federati
Active Directory locale
Usare gli account AD sincronizzati con Microsoft 365 per testare l'accesso a risorse specifiche sia in SharePoint Server che in SharePoint in Microsoft 365.
Questi account, o gruppi di cui sono membri, devono avere le autorizzazioni per le raccolte siti e le risorse di SharePoint Server in entrambi gli ambienti e avere le licenze di prodotto appropriate assegnate nella sottoscrizione di Microsoft 365. Devono essere impostati inoltre per utilizzare il suffisso UPN di dominio alternativo specificato per gli utenti federati durante il processo di pianificazione.
È possibile configurare più account federati con autorizzazioni o appartenenze a gruppi diverse per testare l'accesso alle risorse dei siti e la limitazione per motivi di sicurezza appropriati.