Account e autorizzazioni di Microsoft Entra Connect
Informazioni sugli account usati e creati e sulle autorizzazioni necessarie per installare e usare Microsoft Entra Connect.
Account usati per Microsoft Entra Connect
Microsoft Entra Connect usa tre account per sincronizzare le informazioni da Windows Server Active Directory (Windows Server AD) locale a Microsoft Entra ID:
Account del connettore di Active Directory Domain Services: usato per leggere e scrivere informazioni in Windows Server AD usando Active Directory Domain Services (AD DS).
Account del servizio ADSync: usato per eseguire il servizio di sincronizzazione e accedere al database di SQL Server.
Account connettore di Microsoft Entra: usato per scrivere informazioni in Microsoft Entra ID.
Per installare Microsoft Entra Connect, sono necessari anche i seguenti account:
Account amministratore locale: l'amministratore che sta installando Microsoft Entra Connect e possiede autorizzazioni di amministratore locale sul computer.
Account amministratore aziendale di Active Directory Domain Services: utilizzato facoltativamente per creare l'account del connettore di AD DS richiesto.
Account amministratore di identità ibrida di Microsoft Entra: usato per creare l'account Microsoft Entra Connector e per configurare Microsoft Entra ID. È possibile visualizzare l'Amministratore di identità ibrida nell'interfaccia di amministrazione di Microsoft Entra. Vedere Elencare le assegnazioni di ruolo di Microsoft Entra.
Account SA di SQL (facoltativo): usato per creare il database ADSync, quando si usa la versione completa di SQL Server. L'istanza di SQL Server può essere locale o remota rispetto all'installazione di Microsoft Entra Connect. Questo account può essere uguale all'account amministratore aziendale.
Ora, il provisioning del database può essere eseguito fuori banda dall'amministratore di SQL Server e quindi installato dall'amministratore di Microsoft Entra Connect se l'account dispone di autorizzazioni del proprietario del database (DBO). Per altre informazioni, vedere Installare Microsoft Entra Connect usando le autorizzazioni di amministratore con delega SQL.
Importante
A partire dalla versione 1.4.###.#, non è più possibile utilizzare un account amministratore aziendale o un account amministratore di dominio come account del connettore di Active Directory Domain Services. Se si tenta di immettere un account amministratore aziendale o amministratore di dominio per Usare account esistente, nella procedura guidata viene visualizzato un messaggio di errore e non è possibile procedere.
Nota
È possibile gestire gli account amministratore usati in Microsoft Entra Connect usando un modello di accesso aziendale. Un'organizzazione puà usare un modello di accesso aziendale per ospitare account amministrativi, workstation e gruppi in un ambiente che dispone di controlli di sicurezza più avanzati rispetto all'ambiente di produzione. Per altre informazioni, vedere Modello di accesso Enterprise.
Il ruolo di Amministratore di identità ibrida non è necessario dopo la configurazione iniziale. Dopo la configurazione, l'unico account richiesto è il ruolo di Account di sincronizzazione della directory. Anziché rimuovere l'account con il ruolo di amministratore di identità ibrida, è consigliabile modificare il ruolo in un ruolo con un livello inferiore di autorizzazioni. Se è necessario eseguire di nuovo la procedura guidata, la rimozione completa dell'account potrebbe introdurre problemi. Se è necessario usare di nuovo la procedura guidata di Microsoft Entra Connect, è possibile aggiungere autorizzazioni.
Installazione di Microsoft Entra Connect
L'installazione guidata di Microsoft Entra Connect offre due percorsi:
- Impostazioni rapide: nelle impostazioni rapide di Microsoft Entra Connect, la procedura guidata richiede più autorizzazioni, in modo da poter configurare facilmente l'installazione. La procedura guidata crea utenti e configura le autorizzazioni automaticamente.
- Impostazioni personalizzate: nelle impostazioni personalizzate di Microsoft Entra Connect sono disponibili più scelte e opzioni nella procedura guidata. Tuttavia, per alcuni scenari, è importante assicurarsi di avere le autorizzazioni corrette.
Impostazioni rapide
Nelle impostazioni rapide, immettere queste informazioni nell'installazione guidata:
- Le credenziali amministratore aziendale AD DS
- Credenziali di amministratore di identità ibrida di Microsoft Entra
Le credenziali amministratore aziendale AD DS
L'account amministratore aziendale di Active Directory Domain Services viene usato per configurare Windows Server AD. Queste credenziali vengono usate solo durante l'installazione. L'amministratore aziendale, non l'amministratore di dominio, deve garantire che le autorizzazioni in Windows Server AD possano essere impostate in tutti i domini.
Se si esegue l'aggiornamento da DirSync, le credenziali di amministratore aziendale di AD DS vengono usate per reimpostare la password per l'account usato da DirSync. Sono richieste anche le credenziali di amministratore dell'identità ibrida di Microsoft Entra.
Credenziali di amministratore di identità ibrida di Microsoft Entra
Le credenziali per l'account amministratore di identità ibrida Microsoft Entra vengono usate solo durante l'installazione. L'account viene usato per creare l'account Microsoft Entra Connector che sincronizza le modifiche apportate a Microsoft Entra ID. L'account abilita anche la sincronizzazione come una funzionalità in Microsoft Entra ID.
Per altre informazioni, vedere Amministratore di identità ibrida.
Autorizzazioni necessarie per l'account del connettore di AD DS per le impostazioni rapide
L'account connettore di Active Directory Domain Services viene creato per leggere e scrivere in Windows Server AD. L'account dispone delle seguenti autorizzazioni quando viene creato durante l'installazione delle impostazioni rapide:
| Autorizzazione | Utilizzo |
|---|---|
| - Replica modifiche directory - Replica modifiche directory - Tutto |
Sincronizzazione dell'hash delle password |
| Lettura/scrittura di tutte le proprietà - Utente | Importazione ed Exchange ibrido |
| Lettura/scrittura di tutte le proprietà - iNetOrgPerson | Importazione ed Exchange ibrido |
| Lettura/scrittura di tutte le proprietà - Gruppo | Importazione ed Exchange ibrido |
| Lettura/scrittura di tutte le proprietà - Contatto | Importazione ed Exchange ibrido |
| Reimposta password | Preparazione per l'abilitazione del writeback delle password |
Procedura guidata per le impostazioni rapide
In un'installazione rapida delle impostazioni, la procedura guidata crea automaticamente alcuni account e impostazioni.
La tabella seguente è un riepilogo delle pagine della procedura guidata delle impostazioni rapide, le credenziali raccolte e il relativo uso:
| Pagina della procedura guidata | Credenziali raccolte | Autorizzazioni obbligatorie | Scopo |
|---|---|---|---|
| N/D | L'utente che esegue l'installazione guidata. | Amministratore del server locale. | Usato per creare l'account del servizio ADSync usato per eseguire il servizio di sincronizzazione. |
| Stabilire la connessione a Microsoft Entra ID | Credenziali della directory di Microsoft Entra. | Ruolo di amministratore di identità ibrida in Microsoft Entra ID. | - Usato per abilitare la sincronizzazione nella directory Microsoft Entra. - Usato per creare l'account Microsoft Entra Connector usato per le operazioni di sincronizzazione in corso in Microsoft Entra ID. |
| Connessione ad AD DS | Credenziali di Windows Server AD. | Membro del gruppo Enterprise Admins in Windows Server AD. | Usato per creare l'account del connettore di Active Directory Domain Services in Windows Server AD e concedervi le autorizzazioni. L'account creato viene usato per leggere e scrivere informazioni di directory durante la sincronizzazione. |
Impostazioni personalizzate
In un'installazione di impostazioni personalizzate, la procedura guidata offre più opzioni e scelte.
Procedura guidata per impostazioni personalizzate
La seguente tabella è un riepilogo delle pagine della procedura guidata delle impostazioni personalizzate, delle credenziali raccolte e il relativo uso:
| Pagina della procedura guidata | Credenziali raccolte | Autorizzazioni obbligatorie | Scopo |
|---|---|---|---|
| N/D | L'utente che esegue l'installazione guidata. | - Amministratore del server locale. - Se si usa un'istanza completa di SQL Server, l'utente deve essere un amministratore di sistema (sysadmin) in SQL Server. |
Per impostazione predefinita, usato per creare l'account locale usato come account del servizio del motore di sincronizzazione. L'account viene creato solo quando l'amministratore non specifica un account. |
| Installazione dei servizi di sincronizzazione, opzione Account di servizio | Credenziali dell'account utente locale o di Windows Server AD. | Autorizzazioni utente concesse mediante l'installazione guidata. | Se l'amministratore specifica un account, quest'ultimo viene usato come account del servizio di sincronizzazione. |
| Stabilire la connessione a Microsoft Entra ID | Credenziali della directory di Microsoft Entra. | Ruolo di amministratore di identità ibrida in Microsoft Entra ID. | - Usato per abilitare la sincronizzazione nella directory Microsoft Entra. - Usato per creare l'account Microsoft Entra Connector usato per le operazioni di sincronizzazione in corso in Microsoft Entra ID. |
| Connessione delle directory | Credenziali di Windows Server AD per ogni foresta connessa a Microsoft Entra ID. | Le autorizzazioni variano in base alle funzionalità attivate e sono disponibili in Creare l'account del connettore di AD DS. | L'account viene usato per leggere e scrivere informazioni di directory durante la sincronizzazione. |
| Server AD FS | Per ogni server nell'elenco, la procedura guidata raccoglie le credenziali, quando le credenziali di accesso dell'utente che esegue la procedura guidata non sono sufficienti per la connessione. | L'account amministratore di dominio. | Usato durante l'installazione e la configurazione del ruolo del server Active Directory Federation Services (AD FS). |
| Server Proxy applicazione Web | Per ogni server nell'elenco, la procedura guidata raccoglie le credenziali, quando le credenziali di accesso dell'utente che esegue la procedura guidata non sono sufficienti per la connessione. | Amministratore locale nel computer di destinazione. | Usato durante l'installazione e la configurazione del ruolo del server del proxy applicazione Web (WAP). |
| Credenziali attendibilità proxy | Credenziali di attendibilità del servizio federativo (le credenziali che sono utilizzate dal proxy per richiedere un certificato di attendibilità dai servizi federativi [FS]). | L'account di dominio che è un amministratore locale del server AD FS. | Registrazione iniziale del certificato di attendibilità di FS-WAP. |
| Pagina Account del servizio AD FS Utilizzare un'opzione account utente di dominio | Credenziali dell'account utente di Windows Server AD. | Un dominio utente. | L'account utente di Microsoft Entra di cui vengono specificate le credenziali viene usato come account di accesso del servizio AD FS. |
Creare l'account del connettore di AD DS
Importante
È stato introdotto un nuovo modulo di PowerShell denominato ADSyncConfig.psm1 con la build 1.1.880.0 (rilasciata ad agosto 2018). Il modulo include una raccolta di cmdlet che consentono di configurare le autorizzazioni di Windows Server AD corrette per l'account Microsoft Entra Domain Services Connector.
Per altre informazioni vedere Microsoft Entra Connect: Configurare le autorizzazioni dell'account del connettore di AD DS.
L'account specificato nella pagina Connessione delle directory deve essere creato in Windows Server AD come oggetto utente normale (VSA, MSA o gSMA non sono supportati) prima dell'installazione. Microsoft Entra Connect versione 1.1.524.0 e successive prevede l'opzione di consentire alla procedura guidata di Microsoft Entra Connect di creare l'account del connettore di Active Directory Domain Services usato per connettersi a Windows Server AD.
L'account specificato deve disporre anche delle autorizzazioni richieste. L'installazione guidata non verifica che le autorizzazioni e gli eventuali problemi vengano rilevati solo durante il processo di sincronizzazione.
Le autorizzazioni necessarie dipendono dalle funzionalità facoltative abilitate. Se si dispone di più domini, le autorizzazioni devono essere concesse per tutti i domini nella foresta. Se queste funzionalità non vengono abilitate, sono sufficienti le autorizzazioni dell' utente di dominio predefinite.
| Funzionalità | Autorizzazioni |
|---|---|
| funzionalità ms-DS-ConsistencyGuid | Autorizzazioni di scrittura per l'attributo ms-DS-ConsistencyGuid documentato in Concetti di progettazione - Uso di ms-DS-ConsistencyGuid come sourceAnchor. |
| Sincronizzazione dell'hash delle password | - Replica modifiche directory - Replica modifiche directory - Tutto |
| Distribuzione ibrida di Exchange | Autorizzazioni di scrittura per gli attributi documentati in Writeback della distribuzione ibrida Exchange per utenti, gruppi e contatti. |
| Cartelle pubbliche della posta di Exchange | Autorizzazioni di lettura per gli attributi documentati in Cartelle pubbliche della posta di Exchange per le cartelle pubbliche. |
| writeback delle password | Autorizzazioni di scrittura per gli attributi documentati in Introduzione alla gestione delle password per gli utenti. |
| Writeback dispositivi | Autorizzazioni concesse con uno script di PowerShell come descritto in Writeback dispositivi. |
| Writeback dei gruppi | Consente il writeback dei gruppi di Microsoft 365 in una foresta in cui è installato Exchange. |
Autorizzazioni necessarie per l'aggiornamento
Quando si aggiorna da una versione di Microsoft Entra Connect a una nuova versione, è necessario avere le autorizzazioni seguenti:
| Server principale | Autorizzazioni obbligatorie | Scopo |
|---|---|---|
| L'utente che esegue l'installazione guidata | Amministratore del server locale | Usato per aggiornare i file binari. |
| L'utente che esegue l'installazione guidata | Membro di ADSyncAdmins | Usato per apportare modifiche alle regole di sincronizzazione e ad altre configurazioni. |
| L'utente che esegue l'installazione guidata | Se si utilizza un'istanza completa di SQL Server: DBO (o simile) del database del motore di sincronizzazione | Usato per apportare modifiche a livello di database, come l'aggiornamento di tabelle con nuove colonne. |
Importante
Nella build 1.1.484, un bug di regressione è stato introdotto in Microsoft Entra Connect. Il bug richiede autorizzazioni sysadmin per aggiornare il database di SQL Server. Il bug è stato corretto nella build 1.1.647. Per aggiornare questa build, è necessario disporre delle autorizzazioni sysadmin. In questo scenario, le autorizzazioni DBO non sono sufficienti. Se si tenta di aggiornare Microsoft Entra Connect senza autorizzazioni sysadmin, l'aggiornamento ha esito negativo e Microsoft Entra Connect non funziona più correttamente.
Dettagli degli account creati
Le seguenti sezioni forniscono altre informazioni sugli account creati in Microsoft Entra Connect.
Account del connettore di AD DS
Se si usano le impostazioni rapide, viene creato un account usato per la sincronizzazione in Windows Server AD. L'account creato si trova nel dominio principale dell'insieme di strutture nel contenitore degli utenti. Il nome dell'account presenta il prefisso MSOL_. L'account viene creato con una password lunga e complessa priva di scadenza. Se nel dominio sono presenti criteri di password, assicurarsi che per tale account siano consentite password lunghe e complesse.
Se si usano le impostazioni personalizzate, l'utente è responsabile della creazione dell'account prima di avviare l'installazione. Vedere Creare l'account del connettore di AD DS.
Account del servizio ADSync
Il servizio di sincronizzazione può essere eseguito con account diversi. Può essere eseguito con un account del servizio virtuale (VSA), un account del servizio gestito del gruppo (gMSA), un account del servizio gestito autonomo (sMSA), o un normale account utente. Le opzioni supportate sono state modificate con i rilasci di aprile 2017 di Microsoft Entra Connect se si esegue una nuova installazione. Se si esegue un aggiornamento da una versione precedente di Microsoft Entra Connect, queste altre opzioni non sono disponibili.
| Tipo di account | Opzione di installazione | Descrizione |
|---|---|---|
| VSA | Rapida e personalizzata, aprile 2017 e versioni successive | Questa opzione è usata per tutte le installazioni di impostazioni rapide, ad eccezione delle installazioni in un controller di dominio. Per le impostazioni personalizzate, questa è l'opzione predefinita. |
| gMSA | Personalizzata, aprile 2017 e versioni successive | Se si usa un'istanza remota di SQL Server, è consigliabile usare un gMSA. |
| Account utente | Rapida e personalizzata, aprile 2017 e versioni successive | Un account utente con il prefisso AAD_ viene creato durante l'installazione solo quando Microsoft Entra Connect è installato in Windows Server 2008 e in un controller di dominio. |
| Account utente | Rapida e personalizzata, marzo 2017 e versioni precedenti | Durante l'installazione viene creato un account locale con prefisso AAD_. In un'installazione personalizzata, è possibile specificare un account diverso. |
Se si usa Microsoft Entra Connect con una build di marzo 2017 o versioni precedenti, non reimpostare la password nell'account del servizio. Windows elimina definitivamente le chiavi di crittografia per motivi di sicurezza. Non è possibile modificare l'account in qualsiasi altro account senza reinstallare Microsoft Entra Connect. Se si esegue l'aggiornamento a un build di aprile 2017 o versione successiva, è possibile modificare la password dell'account del servizio ma non l'account in uso.
Importante
È possibile impostare l'account del servizio solo durante la prima installazione. Non è possibile modificare l'account del servizio al termine dell'installazione.
La tabella seguente descrive le opzioni predefinite, consigliate e supportate per l'account del servizio di sincronizzazione.
Legenda:
- Grassetto = l'opzione predefinita e, nella maggior parte dei casi, l'opzione consigliata.
- Corsivo = l'opzione consigliata quando non è l'opzione predefinita.
- 2008 = l'opzione predefinita se installata in Windows Server 2008
- Non in grassetto: un'opzione supportata
- Account locale = account utente locale sul server
- Account di dominio = account utente di dominio
- sMSA = account del servizio gestito autonomo
- gMSA = account del servizio gestito del gruppo
| Database locale Express |
Database locale/SQL Server locale Personalizzazione |
SQL Server remoto Personalizzazione |
|
|---|---|---|---|
| computer aggiunto a un dominio | VSA Account locale (2008) |
VSA Account locale (2008) Account locale Account di dominio sMSA, gMSA |
gMSA Account di dominio |
| Controller di dominio | Account di dominio | gMSA Account di dominio sMSA |
gMSA Account di dominio |
VSA
Un VSA è un tipo speciale di account che non ha una password ed è gestito da Windows.
L'account del servizio virtuale deve essere usato con scenari in cui il motore di sincronizzazione e SQL Server sono sullo stesso server. Se si usa un SQL Server remoto, è consigliabile usare un gMSA anziché un VSA.
La funzionalità VSA richiede Windows Server 2008 R2 o versioni successive. Se si installa Microsoft Entra Connect in Windows Server 2008, l'installazione ritorna all'uso di un account utente anziché di un VSA.
gMSA
Se si usa un'istanza remota di SQL Server, è consigliabile usare un gMSA. Per altre informazioni su come preparare Windows Server AD per gMSA, vedere Panoramica degli account del servizio gestito del gruppo.
Per usare questa opzione, nella pagina Installazione dei componenti necessari selezionare Usa un account del servizio esistente e poi selezionare Account del servizio gestito.
In questo scenario, è anche possibile usare un sMSA. Tuttavia, è possibile usare un sMSA solo nel computer locale, e non vi è alcun vantaggio per l'uso di un sMSA anziché del VSA predefinito.
La funzionalità sMSA richiede Windows Server 2012 o versioni successive. Se è necessario usare una versione precedente di un sistema operativo e si usa SQL Server remoto, occorre usare un account utente.
Account utente
Mediante l'installazione guidata viene creato un account del servizio locale (a meno che non si specifichi l'account da usare nelle impostazioni personalizzate). L'account è preceduto da AAD_ e viene usato per l'esecuzione del servizio di sincronizzazione effettivo. Se si installa Microsoft Entra Connect in un Controller di dominio, l'account viene creato nel dominio. L'account del servizio AAD_ deve essere presente nel dominio se:
- Si usa un server remoto che esegue SQL Server.
- Si usa un proxy che richiede l'autenticazione.
L'account del servizio AAD_ viene creato con una password lunga e complessa priva di scadenza.
Questo account viene usato per archiviare in modo sicuro le password per gli altri account. Le password vengono archiviate crittografate nel database. Le chiavi private per le chiavi di crittografia sono protette tramite la crittografia a chiave segreta dei servizi di crittografia con Data Protection API (DPAPI) di Windows.
Se si usa un'istanza completa di SQL Server, l'account del servizio corrisponde al DBO del database creato per il motore di sincronizzazione. Il servizio non funzionerà come previsto con tutte le altre autorizzazioni. Viene inoltre creato l'accesso a SQL Server.
L'account concede inoltre le autorizzazioni a file, chiavi del Registro di sistema e altri oggetti correlati al motore di sincronizzazione.
Account del connettore di Microsoft Entra
In Microsoft Entra ID, viene creato un account per l'uso con il servizio di sincronizzazione. Questo account può essere identificato in base al suo nome visualizzato.
Il nome del server in cui viene usato l'account può essere identificato nella seconda parte del nome utente. Nella figura precedente, il nome del server è DC1. Se si dispone di server di gestione temporanea, ogni server avrà il proprio account.
Un account del server viene creato con una password lunga e complessa priva di scadenza. All'account viene concesso un ruolo speciale per gli account di sincronizzazione della directory che dispone solo delle autorizzazioni per eseguire attività di sincronizzazione della directory. Questo ruolo predefinito speciale non può essere concesso al di fuori della procedura guidata di Microsoft Entra Connect. L'interfaccia di amministrazione di Microsoft Entra mostra questo account con il ruolo Utente.
Microsoft Entra ID ha un limite di 20 account del servizio di sincronizzazione.
Per ottenere l'elenco degli account del servizio di Microsoft Entra esistenti nell'istanza di Microsoft Entra, eseguire il seguente comando:
$directoryRoleId = Get-MgDirectoryRole | where {$_.DisplayName -eq "Directory Synchronization Accounts"} Get-MgDirectoryRoleMember -DirectoryRoleId $directoryRoleId.Id | Select -ExpandProperty AdditionalPropertiesPer rimuovere gli account del servizio di Microsoft Entra inutilizzati, eseguire il seguente comando:
Remove-MgUser -UserId <Id-of-the-account-to-remove>
Nota
Prima di poter usare questi comandi di PowerShell, è necessario installare il modulo PowerShell di Microsoft Graph e connettersi all'istanza di Microsoft Entra ID usando Connect-MgGraph.
Per altre informazioni su come gestire o reimpostare la password per l'account Microsoft Entra Connect, vedere Gestire l'account di Microsoft Entra Connect.
Articoli correlati
Per altre informazioni su Microsoft Entra Connect, vedere gli articoli seguenti:
| Argomento | Collegamento |
|---|---|
| Scaricare Microsoft Entra Connect | Scaricare Microsoft Entra Connect |
| Eseguire l'installazione usando le Impostazioni rapide | Installazione rapida di Microsoft Entra Connect |
| Eseguire l'installazione con le impostazioni personalizzate | Installazione personalizzata di Microsoft Entra Connect |
| aggiornamento da DirSync | Eseguire l'aggiornamento dallo strumento Azure AD Sync (DirSync) |
| Dopo l'installazione | Verificare l'installazione e assegnare le licenze |
Passaggi successivi
Altre informazioni sull'integrazione delle tue identità locali con Microsoft Entra ID.