Tutorial completo per Azure AD Connect e Microsoft Entra Connect

Azure AD Connect (ora Microsoft Enter Connect) È la chiave per connettere il tuo Active Directory locale con il cloud Microsoft: Azure AD e Microsoft 365. Grazie a questo strumento, i tuoi utenti possono accedere con lo stesso nome utente e password sia in locale che nei servizi cloud, evitando account duplicati e riducendo i problemi per il reparto IT.

Nel corso di questo tutorial Potrai osservare nel dettaglio l'intero ciclo: dalla preparazione dell'ambiente locale alla creazione del dominio e della foresta di Active Directory, dalla configurazione di Microsoft Entra ID all'installazione e configurazione di Azure AD Connect, dai metodi di autenticazione al filtro degli oggetti, fino alle funzionalità avanzate come la sincronizzazione degli hash delle password, la scrittura inversa e l'utilizzo di Microsoft Entra Connect Health per il monitoraggio dell'infrastruttura.

Che cos'è Azure AD Connect e a cosa serve?

Azure AD Connect è l'utilità ufficiale di Microsoft. Funge da "ponte" tra Active Directory locale e Azure Active Directory, integrandosi anche con Microsoft 365. Consente di sincronizzare le identità già presenti nel dominio locale con il cloud, in modo che l'utente possa utilizzare le stesse credenziali in entrambi gli ambienti e, se lo desidera, usufruire del Single Sign-On (SSO).

Il client Azure AD Connect è installato su un server membro. del dominio e, sebbene tecnicamente possa essere installato su un controller di dominio, Microsoft consiglia di evitarlo per motivi di sicurezza e isolamento dei servizi. Questo server sarà responsabile della sincronizzazione di utenti, gruppi e altri oggetti da Active Directory con Azure AD a intervalli regolari.

Una volta configurato, Azure AD Connect Può utilizzare diversi modelli di autenticazione: sincronizzazione dell'hash delle password (PHS), autenticazione pass-through (PTA), federazione con AD FS o federazione con provider come PingFederate. Offre inoltre opzioni come SSO, filtraggio per unità organizzativa o gruppi, protezione contro le eliminazioni di massa e aggiornamenti automatici del prodotto.

Negli scenari in cui già lavori con Microsoft 365 E se si dispone di utenti "solo cloud", Azure AD Connect consente di unificare le identità: se l'UPN e l'indirizzo email di un utente locale corrispondono a quelli dell'utente nel cloud, al momento della sincronizzazione, tale utente cesserà di essere "solo cloud" e diventerà un utente sincronizzato da Active Directory, centralizzando la gestione degli attributi nella directory locale.

Preparazione dell'ambiente Active Directory locale

Prima di pensare di sincronizzare qualsiasi cosa con AzureÈ necessario disporre di un ambiente Active Directory funzionante. Se si possiede già un dominio aziendale in produzione, è possibile utilizzarlo; in caso contrario, è possibile configurare un ambiente di test da zero per verificare tutti gli scenari di identità ibrida senza influire sull'ambiente di produzione.

L'idea alla base di questo laboratorio è quella di creare un server che fungerà da controller di dominio (DC) e ospiterà AD DS, DNS e strumenti di gestione. Tutto ciò può essere configurato su una macchina virtuale Hyper-V con Windows Server, utilizzando script PowerShell che automatizzano gran parte del lavoro.

Creazione della macchina virtuale per il controller di dominio

Il primo passo è creare una macchina virtuale che fungerà da server Active Directory locale. Per fare ciò, è possibile aprire PowerShell ISE come amministratore sull'host Hyper-V ed eseguire uno script che definisce il nome della macchina virtuale, lo switch di rete, il percorso VHDX, le dimensioni del disco e il supporto di installazione (ISO di Windows Server).

Questo script crea una macchina virtuale di seconda generazioneCon memoria fissa, viene creato un nuovo disco virtuale e viene collegata un'unità DVD virtuale che punta all'immagine ISO del sistema operativo. Il firmware della macchina viene quindi configurato per l'avvio iniziale dal DVD, consentendo di eseguire l'installazione del sistema in modo interattivo.

Una volta creata la macchina virtualeTramite Hyper-V Manager, è necessario avviare il server, connettersi alla sua console ed eseguire un'installazione standard di Windows Server: selezionare la lingua, inserire il codice Product Key, accettare i termini di licenza, scegliere un'installazione personalizzata e utilizzare il disco appena creato. Al termine dell'installazione, riavviare il server, accedere e applicare tutti gli aggiornamenti disponibili.

Configurazione iniziale di Windows Server

Con il sistema operativo già installatoIl server deve essere predisposto per ricevere il ruolo di Servizi di dominio Active Directory. Ciò implica l'assegnazione di un nome coerente (ad esempio, DC1), la configurazione di un indirizzo IP statico, la definizione delle impostazioni DNS e l'aggiunta degli strumenti amministrativi necessari tramite le funzionalità di Windows.

Utilizzando un altro script PowerShell È possibile automatizzare queste attività: impostare l'indirizzo IP, la maschera di sottorete, il gateway e i server DNS (di solito il server stesso e, come secondario, un DNS pubblico come 8.8.8.8), rinominare il computer e installare gli RSAT di Active Directory, registrando il tutto in un file di registro per scopi di controllo.

Dopo aver applicato queste modifiche Il server verrà riavviato e sarà pronto per essere promosso a controller di dominio in una nuova foresta, in modo da avere il tuo ambiente Active Directory locale operativo per i test o per la reale integrazione con il cloud.

Creazione della foresta e del dominio di Active Directory

Il passo successivo è installare AD DS, DNS e la Console di gestione dei criteri di gruppo (GPMC), e quindi creare una nuova foresta di Active Directory. Anche in questo caso, PowerShell consente di velocizzare il processo installando le funzionalità necessarie ed eseguendo il cmdlet Install-ADDSForest con tutti i parametri richiesti.

Nella definizione della foresta si specifica il nome di dominio (ad esempio, contoso.com), nome NetBIOS, percorsi al database di Active Directory (NTDS), ai log e a SYSVOL, nonché i livelli funzionali di dominio e foresta. Viene inoltre definita la password della modalità di ripristino dei servizi di directory (DSRM), essenziale per le attività di ripristino.

Quando il server si riavvia dopo la promozioneHai già un ambiente Windows Server AD con un dominio operativo, DNS integrato e tutti gli strumenti necessari per gestire utenti, gruppi, unità organizzative e criteri di gruppo.

Creazione di utenti di prova in Active Directory

Ora che la foresta è operativa, è utile avere a disposizione degli account di prova. Per verificare la sincronizzazione con Azure AD, è possibile utilizzare uno script PowerShell per creare, ad esempio, l'utente "Allie McCray" con un nome di accesso (samAccountName), una password iniziale, un nome visualizzato e l'opzione per impedire la scadenza della password.

Lo script può anche segnalare l'utente Questa opzione, abilitata per evitare che gli utenti debbano cambiare la password al successivo accesso, li inserirà nel percorso contenitore appropriato (ad esempio, CN=Users,DC=contoso,DC=com). Questi utenti verranno quindi sincronizzati con i rispettivi ID Entra di Microsoft tramite Azure AD Connect.

Preparazione del dominio locale per la sincronizzazione

Prima di implementare Azure AD Connect, è consigliabile esaminare il proprio Active Directory. Per garantire la conformità ai requisiti di Microsoft: domini configurati correttamente, suffissi UPN corretti, attributi e-mail coerenti e assenza di dati in conflitto. A tale scopo, Microsoft offre lo strumento IdFix, che aiuta a individuare gli oggetti problematici.

In molti ambienti è presente un dominio locale di tipo mydomain.local e, dall'altra parte, un dominio di posta elettronica pubblico, ad esempio mydomain.com utilizzato in Microsoft 365. Affinché la sincronizzazione sia corretta, si consiglia di aggiungere il suffisso UPN corrispondente al dominio di posta elettronica pubblico all'Active Directory locale.

Tratto da "Domini e trust di Active Directory" È possibile aprire le proprietà e aggiungere il nuovo suffisso UPN (ad esempio, mydomain.com). Successivamente, nelle proprietà dell'account utente, nella scheda "Account", modificare l'UPN dell'utente da user@mydomain.local a user@mydomain.com, allineandolo all'indirizzo e-mail presente in Microsoft 365.

Sebbene la modifica dell'UPN sia altamente raccomandata Per facilitare gli accessi successivi e l'eventuale implementazione dell'SSO, questa modifica non altera il metodo di accesso classico DOMAIN\user (precedente a Windows 2000), pertanto non influisce sulle applicazioni o sugli script che continuano a utilizzare tale formato.

È inoltre importante compilare correttamente l'attributo mail. degli account utente con il loro indirizzo email principale. Se hai già utenti creati direttamente nel cloud, la combinazione di UPN e email corrispondente tra locale e Microsoft 365 consentirà, dopo la sincronizzazione, di unire tali account e di rendere l'utente cloud un'identità sincronizzata da Active Directory.

Configurazione e impostazione dell'ID di ingresso Microsoft (Azure AD)

Affinché la directory locale venga sincronizzata È necessario un tenant Microsoft Entra ID. Questo tenant è la directory cloud in cui verranno create le repliche di utenti, gruppi e dispositivi dell'ambiente locale.

Se non hai già un inquilinoÈ possibile crearlo accedendo al Centro di amministrazione Microsoft. Accedere con un account dotato di abbonamento. Nella sezione Panoramica, scegliere l'opzione per gestire i tenant e quindi crearne uno nuovo, specificando un nome per l'organizzazione e un dominio iniziale (ad esempio, qualcosa.onmicrosoft.com).

Una volta completata la procedura guidata, la directory viene creata. E potrai gestirlo dal portale. In seguito, potrai associare domini personalizzati (come contoso.com) e verificarli per utilizzarli come domini primari negli UPN dei tuoi utenti sincronizzati da Active Directory.

Creazione di un account amministratore di identità ibrida

Nel tenant Microsoft Entra, si consiglia di creare Per la gestione del componente ibrido verrà utilizzato un account dedicato. Questo account verrà utilizzato, ad esempio, per la configurazione iniziale di Azure AD Connect e per le attività relative all'identità.

Dalla sezione Utenti Si crea un nuovo utente, gli si assegna un nome e un nome utente (UPN) e si modifica il suo ruolo in "Amministratore identità ibrida". Durante la creazione, è possibile visualizzare e copiare la password temporanea assegnata all'utente.

Dopo aver creato questo account, è consigliabile effettuare l'accesso. Accedi a myapps.microsoft.com con quel nome utente e la password temporanea, forzando così la modifica della password con una permanente. Questa sarà l'identità amministrativa che utilizzerai in diverse fasi della configurazione ibrida.

Installazione di Azure AD Connect (Microsoft Entra Connect)

Con l'ambiente locale pronto e il tenant cloud predispostoOra è possibile installare Azure AD Connect su un server membro di un dominio locale. Microsoft sconsiglia l'utilizzo di un controller di dominio per ridurre al minimo i rischi per la sicurezza e la disponibilità.

Download di Azure AD Connect È disponibile nel portale di Azure Active Directory, nella sezione Azure AD Connect, oppure direttamente dal Microsoft Download Center. Dopo aver scaricato il programma di installazione, eseguirlo sul server designato.

I termini della licenza vengono accettati durante la procedura guidata di installazione. Hai due opzioni: configurazione rapida o configurazione personalizzata. L'opzione rapida configura la sincronizzazione completa di Active Directory per impostazione predefinita utilizzando il metodo "sincronizzazione hash password", mentre l'opzione personalizzata consente un controllo molto maggiore su attributi, domini, unità organizzative, metodi di autenticazione e funzionalità aggiuntive.

Nelle installazioni tipiche, di solito è più interessante Scegli il percorso personalizzato, soprattutto se devi limitare le unità organizzative da sincronizzare, se desideri valutare diversi metodi di accesso o se hai topologie multi-foresta.

Configurazione del metodo di accesso

Uno dei punti chiave dell'assistente Si tratta del metodo di autenticazione che gli utenti utilizzeranno per accedere alle risorse cloud. Azure AD Connect offre diverse opzioni integrate, ognuna con i propri vantaggi e requisiti.

1. Sincronizzazione dell'hash delle password (PHS)Questo metodo si sincronizza con Azure AD hash della password aggiuntivo memorizzato nel tuo Active Directory locale. L'utente accede al cloud direttamente con Azure AD, utilizzando la stessa password dell'ambiente locale, ma gestito solo in AD. È il modello più semplice da implementare e il più diffuso.

2. Autenticazione pass-through (PTA)In questo caso, le password non vengono memorizzate in Azure AD; quando un utente tenta di accedere, la convalida viene inoltrata tramite agenti locali che verificano le credenziali rispetto all'Active Directory locale. Ciò consente di applicare restrizioni di accesso locali, pianificazioni, ecc., mantenendo al contempo il controllo dell'autenticazione all'interno della propria infrastruttura.

3. Federazione con AD FSAzure AD delega l'autenticazione a un sistema di federazione basato su Active Directory Federation Services. Richiede la distribuzione di server AD FS e, in genere, di un proxy per applicazioni web. La sua manutenzione è più complessa, ma offre il massimo controllo e la compatibilità con scenari avanzati.

4. Federazione con PingFederate: simile al caso precedente, ma utilizzando PingFederate come soluzione di federazione al posto di AD FS, per le organizzazioni che dispongono già di tale infrastruttura di identità.

5. Non configurare il metodo di accesso: pensato per chi dispone già di una soluzione di federazione di terze parti e non desidera che Azure AD Connect automatizzi alcun processo in quest'area.

Inoltre, è possibile abilitare l'accesso singolo (SSO) In combinazione con PHS o PTA. Con SSO abilitato e tramite un criterio di gruppo (GPO), i computer aggiunti al dominio possono accedere utilizzando l'UPN dell'utente, in genere lo stesso del suo indirizzo e-mail, evitando così di dover inserire ripetutamente le proprie credenziali per accedere a servizi come il portale di Microsoft 365.

Connessione a Microsoft 365 e all'Active Directory locale

Nella procedura guidata di connessione ad Azure AD dovrai fornire Innanzitutto, avrai bisogno delle credenziali di un amministratore del tenant di Microsoft Entra (ad esempio, l'account amministratore dell'identità ibrida creato in precedenza). Questo permette allo strumento di configurare il componente cloud e registrare il server come origine di sincronizzazione.

Successivamente, vengono richieste le credenziali da un account dotato di autorizzazioni nell'Active Directory locale. per creare il collegamento di sincronizzazione con la foresta locale. Una volta convalidato, la directory locale viene aggiunta all'elenco delle origini dati per la sincronizzazione.

Nel passaggio successivo si sceglie quale attributo utilizzare come nome utente principale Per gli account cloud, l'approccio usuale è quello di utilizzare userPrincipalName, ma in alcuni scenari è possibile optare per il campo email se è coerente e configurato correttamente. È anche possibile indicare se si intende procedere senza aver ancora verificato tutti i domini UPN in Azure AD (utile quando il dominio AD è privato).

Selezione OU e filtraggio degli oggetti

Azure AD Connect consente di definire quale sottoinsieme La tua foresta di Active Directory è sincronizzata con il cloud. Puoi selezionare interi domini, unità organizzative specifiche o persino filtrare per attributi per restringere l'ambito di ricerca.

In pratica, di solito è una buona idea Inizia sincronizzando solo le unità organizzative (OU) in cui risiedono gli utenti che partecipano al progetto pilota, oppure utilizza un gruppo di sicurezza specifico i cui membri verranno replicati in Azure AD. In questo modo si riduce il rischio di sincronizzare account di servizio, oggetti obsoleti o informazioni che non dovrebbero lasciare l'ambiente locale.

Vale la pena notare che i cambiamenti successivi Le modifiche alla struttura delle unità organizzative (rinomina, spostamento di contenitori, ecc.) possono influire sul filtraggio. Una strategia comune consiste nel sincronizzare l'intero dominio, ma limitare il filtraggio in base all'appartenenza ai gruppi, evitando un'eccessiva dipendenza dalla struttura organizzativa.

Opzioni di configurazione aggiuntive

Le schermate finali dell'assistente offrono Tra le funzionalità aggiuntive figurano la scrittura delle password, la riscrittura dei dispositivi, l'integrazione ibrida con Exchange e la protezione contro le cancellazioni di massa.

Scrittura differita della password Consente agli utenti di modificare o reimpostare la propria password dal cloud (ad esempio, tramite il portale self-service) e di applicare tale modifica anche nell'Active Directory locale, nel rispetto delle policy di password aziendali. Per molte aziende, questo rappresenta un vantaggio significativo per l'assistenza.

Riscrittura del dispositivo Consente di esportare i dispositivi registrati in Microsoft Entra ID nell'Active Directory locale, facilitando gli scenari di accesso condizionale in cui è necessario tenere traccia dei dispositivi su entrambi i lati.

La funzione per prevenire cancellazioni accidentali È abilitata per impostazione predefinita e limita il numero di oggetti che possono essere eliminati in una singola esecuzione di sincronizzazione (ad esempio, a 500). Se questa soglia viene superata, la sincronizzazione viene bloccata per impedire eliminazioni di massa accidentali, aspetto fondamentale in ambienti di grandi dimensioni.

Infine, aggiornamenti automatici È abilitato per impostazione predefinita nelle installazioni con configurazione rapida e mantiene Azure AD Connect aggiornato alle versioni più recenti, correggendo bug e aggiungendo compatibilità senza che sia necessario aggiornare manualmente ogni server.

Verifica della sincronizzazione e del funzionamento quotidiano

Dopo aver completato l'installazione e la procedura guidataAzure AD Connect può avviare immediatamente una sincronizzazione completa se l'hai specificata. La procedura guidata stessa offre la possibilità di eseguire un ciclo iniziale non appena termina, operazione consigliata per verificare che tutto funzioni correttamente.

Sul server in cui è stato installato Azure AD Connect È possibile aprire la console "Servizio di sincronizzazione" dal menu Start. Lì verrà visualizzata la cronologia delle esecuzioni, inclusa la sincronizzazione iniziale, eventuali errori e i dettagli relativi all'importazione, alla sincronizzazione e all'esportazione degli oggetti.

Sul portale di Microsoft 365 o sul portale di accesso Microsoft È possibile controllare l'elenco degli utenti per verificare che vengano visualizzati come "Sincronizzati con Active Directory" anziché "Solo cloud". Da quel momento in poi, gli attributi principali (nome, cognome, indirizzo e-mail, ecc.) vengono gestiti dall'Active Directory locale.

Azure AD Connect esegue un ciclo predefinito La sincronizzazione avviene ogni 30 minuti, ma è sempre possibile forzare una sincronizzazione manuale tramite PowerShell se è necessario che una modifica venga applicata immediatamente. È buona norma documentare questo comportamento in modo che il team di supporto sappia cosa aspettarsi.

Scenari avanzati: foreste multiple e server aggiuntivi

In organizzazioni più complesse Potresti imbatterti in più foreste di Active Directory, ognuna con il proprio dominio e i propri utenti. Potrebbero esserci anche foreste di risorse in cui risiedono cassette postali collegate o altri servizi.

Azure AD Connect è pronto per queste topologieCiò consente di aggiungere più foreste come origini di sincronizzazione e di applicare un modello di provisioning dichiarativo. Questo significa che le regole per la combinazione, la trasformazione e il flusso degli attributi sono definite in modo dichiarativo e possono essere adattate alla progettazione dell'identità.

Per laboratori più avanzati È possibile creare una seconda foresta (ad esempio, fabrikam.com) con un proprio controller di dominio (CP1) ripetendo i passaggi di creazione della macchina virtuale, installazione del sistema, configurazione IP e DNS, promozione a controller di dominio e creazione di utenti di test. Ciò consente di testare scenari multi-foresta e la sincronizzazione cloud con domini diversi.

Negli ambienti di produzione, si raccomanda di avere Un server Azure AD Connect viene messo in standby o in modalità di staging. Il server di staging mantiene una copia della configurazione ed esegue l'importazione e la sincronizzazione interne, ma non esporta le modifiche in Azure AD. In caso di errore del server primario, è possibile passare al server di staging con un impatto minimo.

Microsoft Entra Connect Health: monitoraggio e avvisi

Per tenere sotto controllo l'infrastruttura di identità ibridaMicrosoft offre Microsoft Entra Connect Health, una soluzione premium che monitora componenti chiave come Azure AD Connect (sincronizzazione), AD FS e AD DS, fornendo avvisi, metriche sulle prestazioni e analisi dell'utilizzo.

L'operazione si basa su agenti. Questi agenti vengono installati sui server di identità: server AD FS, controller di dominio e server Azure AD Connect. Inviano informazioni su integrità e prestazioni al servizio cloud, dove è possibile visualizzarle nel portale dedicato Connect Health.

Per iniziare, è necessario possedere delle licenze. Da Microsoft, inserisci l'ID P1 o P2 (o un ID di prova). Quindi scarica gli agenti di Connect Health dal portale e installali su ciascun server interessato. Una volta registrato, il servizio rileva automaticamente quali ruoli vengono monitorati.

Sul portale Connect Health troverai diversi pannelliUno per i servizi di sincronizzazione (Azure AD Connect), un altro per i servizi di federazione (AD FS) e un altro ancora per le foreste AD DS. In ognuno di essi è possibile visualizzare gli avvisi attivi, lo stato della replica, i potenziali problemi relativi ai certificati, gli errori di autenticazione e le tendenze di utilizzo.

Oltre agli aspetti tecnici, Connect Health include opzioni Per configurare l'accesso basato sui ruoli (IAM) e, facoltativamente, autorizzare Microsoft ad accedere ai dati diagnostici esclusivamente a scopo di supporto. Questa opzione è disabilitata per impostazione predefinita, ma può essere utile se è necessario un supporto Microsoft avanzato per risolvere problemi complessi.

Con l'intero ecosistema configurato — AD locale, Microsoft Entra ID, Azure AD Connect e Connect Health— Hai a disposizione una piattaforma di identità ibrida completa, in grado di offrire single sign-on, gestione centralizzata di account e password, alta disponibilità e visibilità sullo stato dell'infrastruttura; una combinazione che semplifica la vita dell'utente finale e ti offre il controllo necessario per operare in modo sicuro e flessibile.