Condividi tramite

Sincronizzazione Microsoft Entra Connect: configurare la posizione dei dati preferita per le risorse di Microsoft 365

  • Articolo

Lo scopo di questo articolo è illustrare come configurare l'attributo per il percorso dei dati preferito in Microsoft Entra Connect Sync. Quando un utente usa funzionalità Multi-Geo in Microsoft 365, si usa questo attributo per designare la posizione geografica dei dati di Microsoft 365 dell'utente. I termini regione e geo vengono usati in modo intercambiabile.

Le località multi-geografiche supportate

Per un elenco di tutte le aree geografiche supportate da Microsoft Entra Connect, vedere disponibilità multi-geografica di Microsoft 365

Abilitare la sincronizzazione della posizione dati preferita

Per impostazione predefinita, le risorse di Microsoft 365 per gli utenti si trovano nella stessa area geografica del tenant di Microsoft Entra. Ad esempio, se il tenant si trova in America del Nord, le cassette postali di Exchange degli utenti si trovano anche in America del Nord. Per un'organizzazione multinazionale, questo potrebbe non essere ottimale.

Impostando l'attributo preferredDataLocation, è possibile definire l'area geografica di un utente. È possibile avere le risorse di Microsoft 365 dell'utente, ad esempio la cassetta postale e OneDrive, nella stessa area geografica dell'utente e avere ancora un tenant per l'intera organizzazione.

Importante

A partire dal 1° giugno 2023, Multi-Geo è disponibile per l'acquisto da parte dei partner CSP, con un minimo di 5% delle postazioni totali dell'abbonamento a Microsoft 365 del cliente.

Multi-Geo è disponibile anche per i clienti con un contratto Enterprise Agreement attivo. Per informazioni dettagliate, rivolgersi al rappresentante Microsoft.

Per un elenco di tutte le aree geografiche supportate da Microsoft Entra Connect, vedere disponibilità multi-geografica di Microsoft 365.

Supporto di Microsoft Entra Connect per la sincronizzazione

Microsoft Entra Connect supporta la sincronizzazione dell'attributo preferredDataLocation per gli oggetti User nella versione 1.1.524.0 e successive. Specificamente:

  • Lo schema del tipo di oggetto User in Microsoft Entra Connector viene esteso per includere l'attributo preferredDataLocation. L'attributo è di tipo stringa a valore singolo.
  • Lo schema del tipo di oggetto Person nel metaverse viene esteso per includere l'attributo preferredDataLocation. L'attributo è di tipo stringa a valore singolo.

Per impostazione predefinita, preferredDataLocation non è abilitato per la sincronizzazione. Questa funzionalità è destinata a organizzazioni di grandi dimensioni. Lo schema di Active Directory in Windows Server 2019 ha un attributo msDS-preferredDataLocation che dovresti usare a questo scopo. Se lo schema di Active Directory non è stato aggiornato e non è possibile farlo, è necessario identificare un attributo per contenere l'area geografica di Microsoft 365 per gli utenti. Questo sarà diverso per ogni organizzazione.

Importante

Microsoft Entra ID consente di configurare direttamente l'attributo preferredDataLocation sugli oggetti utente cloud usando Microsoft Graph PowerShell. Per configurare questo attributo sugli oggetti utente sincronizzati è necessario usare Microsoft Entra Connect.

Prima di abilitare la sincronizzazione:

  • Se lo schema di Active Directory non è stato aggiornato a 2019, decidere quale attributo di Active Directory locale usare come attributo di origine. Deve essere di tipo stringa a valore singolo.

  • Se in precedenza avete configurato l'attributo preferredDataLocation sugli oggetti utente sincronizzati esistenti in Microsoft Entra ID utilizzando Microsoft Graph PowerShell, è necessario riportare i valori dell'attributo agli oggetti utente corrispondenti in Active Directory locale.

    Importante

    Se non riporti questi valori indietro, Microsoft Entra Connect rimuove i valori di attributo esistenti in Microsoft Entra ID quando la sincronizzazione per l'attributo posizioneDatiPreferita è abilitata.

  • Configurare l'attributo sorgente in almeno un paio di oggetti utente dell'Active Directory locale. È possibile usarlo per la verifica in un secondo momento.

Le sezioni successive forniscono i passaggi necessari per consentire la sincronizzazione dell'attributo preferredDataLocation.

Nota

I passaggi sono descritti nel contesto di una distribuzione di Microsoft Entra con topologia a foresta singola e senza regole di sincronizzazione personalizzate. Se si dispone di una topologia a più foreste, di regole di sincronizzazione personalizzate configurate o di un server di gestione temporanea, è necessario modificare i passaggi di conseguenza.

Passaggio 1: Disabilitare l'utilità di pianificazione della sincronizzazione e verificare che non sia in corso alcuna sincronizzazione

Per evitare modifiche impreviste esportate in Microsoft Entra ID, assicurarsi che non venga eseguita alcuna sincronizzazione durante l'aggiornamento delle regole di sincronizzazione. Per disabilitare l'utilità di pianificazione della sincronizzazione predefinita:

  1. Avviare una sessione di PowerShell nel server Microsoft Entra Connect.
  2. Disabilitare la sincronizzazione pianificata eseguendo questo cmdlet: Set-ADSyncScheduler -SyncCycleEnabled $false.
  3. Avviare il Synchronization Service Manager passando a STARTSynchronization Service.
  4. Selezionare la scheda Operazioni e verificare che non sia presente alcuna operazione con lo statoin corso .

screenshot del Synchronization Service Manager

Passaggio 2: Aggiornare lo schema per Active Directory

Se lo schema di Active Directory è stato aggiornato a 2019 e Connect è stato installato prima dell'estensione dello schema, la cache dello schema Connect non ha lo schema aggiornato. È quindi necessario aggiornare lo schema dalla procedura guidata affinché venga visualizzato nell'interfaccia utente.

  1. Avvia la procedura guidata Microsoft Entra Connect dal desktop.
  2. Selezionare l'opzione Aggiorna schema della directory e selezionare Avanti.
  3. Immettere le credenziali di Microsoft Entra e selezionare Avanti.
  4. Nella pagina Aggiorna schema directory assicurarsi che tutte le foreste siano selezionate e selezionare Avanti.
  5. Al termine, chiudere la procedura guidata.

screenshot dello schema aggiornato della directory nella procedura guidata di Connessione

Passaggio 3: Aggiungere l'attributo di origine allo schema di Active Directory Connector locale

Questo passaggio è necessario solo se si esegue Connect versione 1.3.21 o precedente. Se si usa la versione 1.4.18 o successiva, passare al passaggio 5.
Non tutti gli attributi di Microsoft Entra vengono importati nello spazio connettore di Active Directory locale. Se si è scelto di usare un attributo che non è sincronizzato per impostazione predefinita, è necessario importarlo. Per aggiungere l'attributo di origine all'elenco degli attributi importati:

  1. Selezionare la scheda connettori in Synchronization Service Manager.
  2. Fare clic con il tasto destro sul connettore Active Directory in sede e selezionare Proprietà.
  3. Nella finestra di dialogo popup passare alla scheda Seleziona attributi.
  4. Verifica che l'attributo di origine che hai scelto di utilizzare sia selezionato nell'elenco degli attributi. Se l'attributo non viene visualizzato, selezionare la casella di controllo MOSTRA TUTTO.
  5. Per salvare, selezionare OK.

Screenshot che mostra la finestra di dialogo del Gestore del Servizio di Sincronizzazione e Proprietà con l'elenco

Passaggio 4: Aggiungere preferredDataLocation allo schema del connettore Microsoft Entra

Questo passaggio è necessario solo se si esegue Connect versione 1.3.21 o precedente. Se si usa la versione 1.4.18 o successiva, passare al passaggio 5.
Per impostazione predefinita, l'attributo preferredDataLocation non viene importato nello spazio del connettore di Microsoft Entra. Per aggiungerlo all'elenco degli attributi importati:

  1. Selezionare la scheda Connettori in Synchronization Service Manager.
  2. Selezionare il connettore Microsoft Entra facendo clic con il pulsante destro del mouse e selezionare Proprietà.
  3. Nella finestra di dialogo popup passare alla scheda Seleziona attributi.
  4. Selezionare l'attributo preferredDataLocation nell'elenco.
  5. Per salvare, selezionare OK.

screenshot della finestra di dialogo Synchronization Service Manager and Properties (Gestione servizi di sincronizzazione e proprietà)

Passaggio 5: Creare una regola di sincronizzazione in ingresso

La regola di sincronizzazione in ingresso consente al valore dell'attributo di passare dall'attributo di origine in Active Directory locale al metaverse.

  1. Avviare editor regole di sincronizzazione passando a STARTEditor regole di sincronizzazione.

  2. Impostare il filtro di ricerca Direzione in modo che sia in ingresso.

  3. Per creare una nuova regola in ingresso, selezionare Aggiungi nuova regola.

  4. Nella scheda Descrizione specificare la configurazione seguente:

    Attributo Valore Dettagli
    Nome Specificare un nome Ad esempio, "Da AD - Posizione dati preferita dall'utente"
    Descrizione Specificare una descrizione personalizzata
    Sistema connesso Selezionare il connettore di Active Directory locale
    Tipo di oggetto Sistema Connesso utente
    Tipo di oggetto Metaverse persona
    Tipo di collegamento Unisciti
    Precedenza Scegliere un numero compreso tra 1 e 99 1-99 è riservato alle regole di sincronizzazione personalizzate. Non selezionare un valore utilizzato da un'altra regola di sincronizzazione.

  5. Mantenere vuoto il filtro ambito, per includere tutti gli oggetti. Potrebbe essere necessario modificare il filtro di ambito in base alla distribuzione di Microsoft Entra Connect.

  6. Passare alla scheda trasformazione e implementare la regola di trasformazione seguente:

    Tipo di flusso Attributo di destinazione Fonte Applica una sola volta Tipo di unione
    Diretto posizioneDatiPreferita Selezionare l'attributo di origine Deselezionata Aggiornare

  7. Per creare la regola in ingresso, selezionare Aggiungi.

screenshot della creazione della regola di sincronizzazione in entrata

Passaggio 6: Creare una regola di sincronizzazione in uscita

La regola di sincronizzazione in uscita consente al valore dell'attributo di passare dal metaverse all'attributo preferredDataLocation in Microsoft Entra ID:

  1. Passare all'editor delle regole di sincronizzazione .

  2. Impostare il filtro di ricerca Direzione in modo che sia in uscita.

  3. Selezionare Aggiungi nuova regola.

  4. Nella scheda Descrizione, specificare la configurazione seguente:

    Attributo Valore Dettagli
    Nome Specificare un nome Ad esempio, "Out to Microsoft Entra ID – User preferredDataLocation"
    Descrizione Fornire una descrizione
    Sistema connesso Selezionare il connettore Microsoft Entra
    Tipo di oggetto del sistema connesso utente
    Tipo di oggetto Metaverse persona
    Tipo di collegamento Unisciti
    Precedenza Scegliere un numero compreso tra 1 e 99 1-99 è riservato alle regole di sincronizzazione personalizzate. Non selezionare un valore utilizzato da un'altra regola di sincronizzazione.

  5. Passare alla scheda filtro ambito e aggiungere un singolo gruppo di filtri di ambito con due clausole:

    Attributo Operatore Valore
    sourceObjectType UGUALE Utente
    cloudMastered NOTAQUAL Vero

    Il filtro di ambito determina a quali oggetti di Microsoft Entra si applica questa regola di sincronizzazione in uscita. In questo esempio utilizziamo lo stesso filtro di ambito dalla regola di sincronizzazione "Out to Microsoft Entra ID – User Identity" OOB (out-of-box). Impedisce l'applicazione della regola di sincronizzazione agli oggetti utente che non sono sincronizzati da un'istanza di Active Directory locale. Potrebbe essere necessario modificare il filtro di ambito in base alla distribuzione di Microsoft Entra Connect.

  6. Passare alla scheda Trasformazione e implementare la regola di trasformazione seguente:

    Tipo di flusso Attributo di destinazione Fonte Applica una sola volta Tipo di unione
    Diretto posizioneDatiPreferita posizioneDatiPreferita Deselezionata Aggiornare

  7. Chiudi Aggiungi per creare la regola in uscita.

Screenshot della creazione della regola di sincronizzazione in uscita

Passaggio 7: Eseguire il ciclo di sincronizzazione completo

In generale, è necessario un ciclo di sincronizzazione completo. Ciò avviene perché sono stati aggiunti nuovi attributi sia allo schema di Active Directory che a Microsoft Entra Connector e sono state introdotte regole di sincronizzazione personalizzate. Verificare le modifiche prima di esportarle in Microsoft Entra ID. È possibile usare la procedura seguente per verificare le modifiche, eseguendo manualmente i passaggi che costituiscono un ciclo di sincronizzazione completo.

  1. Eseguire l'importazione completa su Active Directory Connector locale .

    1. Passare alla scheda Connettori in Synchronization Service Manager.

    2. Selezionare con il tasto destro il Active Directory Connector localee selezionare Esegui.

    3. Nella finestra di dialogo selezionare Importazione Completae selezionare OK.

    4. Attendere il completamento dell'operazione.

      Nota

      È possibile ignorare l'importazione completa in Active Directory Connector locale se l'attributo di origine è già incluso nell'elenco degli attributi importati. In altre parole, non è stato necessario apportare alcuna modifica durante il passaggio 2 precedente in questo articolo.

  2. Esegui l'importazione completa su Microsoft Entra Connector:

    1. Fare clic con il tasto destro sul connettore Microsoft Entra, quindi selezionare Esegui.
    2. Nella finestra di dialogo selezionare importazione completae selezionare OK.
    3. Attendere il completamento dell'operazione.

  3. Verificare le modifiche apportate alla regola di sincronizzazione su un oggetto utente esistente.

    L'attributo di origine proveniente da Active Directory locale e preferredDataLocation da Microsoft Entra ID viene importato in ogni rispettivo spazio del connettore. Prima di procedere con il passaggio di sincronizzazione completo, eseguire un'anteprima su un oggetto utente esistente nello spazio di Active Directory Connector in sede. L'oggetto selezionato deve avere l'attributo di origine popolato. Un'anteprima riuscita con preferredDataLocation popolata nel metaverso è un buon indicatore che le regole di sincronizzazione sono state configurate correttamente. Per informazioni su come eseguire un'anteprima, vedere Verificare la modifica.

  4. Eseguire Sincronizzazione Completa sul connettore Active Directory locale:

    1. Selezionare ildi Active Directory Connector locale e selezionare Esegui.
    2. Nella finestra di dialogo selezionare sincronizzazione completae selezionare OK.
    3. Attendere il completamento dell'operazione.

  5. Verificare Esportazioni pendenti in Microsoft Entra ID:

    1. Fare clic con il tasto destro sul connettore Microsoft Entra Connector, quindi selezionare Search Connector Space.

    2. Nella finestra di dialogo spazio connettore di ricerca:

      un. Impostare Scope su Pending Export.
      b. Selezionare tutte e tre le caselle di controllo, tra cui Aggiungi, Modifica ed Elimina.
      c. Per visualizzare l'elenco di oggetti con modifiche da esportare, selezionare Cerca. Per esaminare le modifiche per un determinato oggetto, selezionare due volte l'oggetto .
      d. Verificare che le modifiche siano previste.

  6. Eseguire Export sul Microsoft Entra Connector

    1. Fare clic con il tasto destro sul connettore Microsoft Entrae selezionare Esegui.
    2. Nella finestra di dialogo Esegui connettore, fare clic su Esportae su OK.
    3. Attendere il completamento dell'operazione.

Nota

È possibile notare che i passaggi non includono il passaggio di sincronizzazione completo in Microsoft Entra Connector o il passaggio di esportazione in Active Directory Connector. I passaggi non sono necessari, perché i valori degli attributi fluiscono esclusivamente dall'Active Directory locale a Microsoft Entra.

Passaggio 8: Riabilitare l'utilità di pianificazione della sincronizzazione

Riattivare il pianificatore di sincronizzazione integrato:

  1. Avviare una sessione di PowerShell.
  2. Riabilitare la sincronizzazione pianificata eseguendo questo cmdlet: Set-ADSyncScheduler -SyncCycleEnabled $true

Passaggio 9: Verificare il risultato

È ora possibile verificare la configurazione e abilitarla per gli utenti.

  1. Aggiungere il geo all'attributo selezionato di un utente. L'elenco delle aree geografiche disponibili è presente in questa tabella.
    Screenshot dell'attributo AD aggiunto a un utente
  2. Attendere che l'attributo venga sincronizzato con Microsoft Entra ID.
  3. Usando PowerShell di Exchange Online, verificare che l'area della cassetta postale sia impostata correttamente.
    screenshot di PowerShell di Exchange Online
    Supponendo che il tenant sia contrassegnato per usare questa funzionalità, la cassetta postale viene spostata nella posizione geografica giusta. È possibile verificarne la verifica esaminando il nome del server in cui si trova la cassetta postale.

Passaggi successivi

Altre informazioni su Multi-Geo in Microsoft 365:

Altre informazioni sul modello di configurazione nel motore di sincronizzazione:

Argomenti generali: