Collegare Azure AD a Office 365: Installare Azure AD Connect

Finalmente, la tua organizzazione si sta spostando su Office 365! Sembra eccitante e allo stesso tempo spaventoso. Ma ora arriva il compito di connettere Azure AD a Office 365. Sai come connettere Azure AD a Office 365?

Not a reader? Watch this related video.

Una delle prime cose che probabilmente ti verrà in mente è come assicurarti che gli utenti utilizzino solo una credenziale per accedere alle risorse locali e cloud. Ecco dove entra in gioco Azure AD Connect.

Con Azure AD Connect, i tuoi account utente saranno sincronizzati su Office 365, inclusa la loro password. Ciò significa che che i tuoi utenti, che accedono alle stampanti di rete o alle loro email in Office 365, dovranno utilizzare solo una credenziale.

In questo articolo, imparerai come installare Azure AD Connect e abilitare la sincronizzazione delle directory per il tuo tenant di Office 365.

Requisiti

Poiché questo è un articolo passo-passo, è necessario disporre di alcuni requisiti se si intende seguire gli esempi.

• Un Azure AD Tenant. Puoi richiedere una prova gratuita se non hai ancora un tenant.
• Accesso a un’Active Directory locale. Se non ne hai uno, puoi utilizzare anche una sottoscrizione di prova di Azure per creare un server di test.
• A server where Azure AD Connect will be installed.
• Scarica l’installatore di Azure AD Connect.
• A Global Administrator account in your Azure AD tenant.
• Un account Amministratore Aziendale nel tuo Active Directory locale.
• Assicurati che le porte Azure AD Connect e Azure AD siano consentite nella tua rete.
• Il modulo MSOnline deve essere installato sul tuo PC di gestione.

Per una lista completa dei requisiti, puoi visitare Requisiti per Azure AD Connect

Verifica dello Stato della Directory prima dell’Installazione

Prima di iniziare con la configurazione di Azure AD Connect, vediamo come controllare lo stato attuale della sincronizzazione della directory nel tuo tenant.

Utilizzando PowerShell

Per visualizzare lo stato corrente di DirSync, devi prima connetterti ad Azure AD. Quindi, utilizza il comando seguente per recuperare le informazioni rilevanti sullo stato di sincronizzazione della directory della tua organizzazione.

Get-MsolCompanyInformation

Dopo aver eseguito il comando sopra, dovresti vedere un output simile in PowerShell, come mostrato di seguito. Come puoi vedere nell’immagine sottostante, il valore di DirectorySynchronizationEnabled è False.

Altri attributi, come DirSyncServiceAccount, LastDirSyncTime e LastPasswordSyncTime, non dovrebbero avere valori poiché la sincronizzazione della directory non è mai stata eseguita.

Utilizzando il Centro di Amministrazione

Puoi anche verificare la sincronizzazione della directory corrente nel Centro di Amministrazione di Azure Active Directory.

Prima, effettua l’accesso al portale. Quindi, vai su Azure Active Directory —> Azure AD Connect. Nella sezione Azure AD Connect sync, dovresti vedere lo stato attuale della sincronizzazione della directory.

Come puoi vedere dall’immagine sotto, indica che Azure AD Connect è Non installato, lo stato dell’ultima sincronizzazione afferma che la Sincronizzazione non è mai stata eseguita. Infine, il valore di Password Hash Sync è disabilitato.

Installazione di Azure AD Connect

Presumendo che tu abbia già soddisfatto tutti i requisiti, sei pronto per installare Azure AD Connect sul tuo server.

Per prima cosa, accedi al server dove prevedi di installare Azure AD Connect. Esegui il file di installazione e segui le istruzioni presentate.

L’immagine sotto mostra la pagina Benvenuti in Azure AD Connect. Prendi nota di ciò che viene detto (o non) e assicurati di spuntare la casella di Accetto i termini della licenza e l’informativa sulla privacy. Poi, clicca su Continua.

La pagina successiva è dove puoi scegliere il tipo di installazione. Puoi scegliere se Personalizzare o Usare le impostazioni rapide. In questo esempio, Azure AD Connect verrà installato utilizzando le impostazioni rapide.

La scelta dell’installazione rapida permetterà di:

• Configurare la sincronizzazione delle identità.
• Configurare la sincronizzazione delle password dall’AD locale all’Azure AD.
• Eseguire la sincronizzazione iniziale.
• Abilitare l’aggiornamento automatico.

Successivamente, nella pagina Collegati ad Azure AD, inserisci le credenziali dell’account amministratore globale. Come già menzionato in questo articolo, è necessario un account amministratore globale.

Una volta inserite le credenziali, clicca su Avanti.

Se l’installatore può utilizzare le credenziali dell’amministratore globale che hai fornito, verrai portato alla pagina Collegati a AD DS.

Devi inserire le credenziali dell’account con diritti di amministratore aziendale nel tuo Active Directory locale. Quindi, clicca su Avanti.

Dopo che le credenziali sono confermate, verrai portato alla pagina pronta per la configurazione dove ti verrà presentato l’elenco delle azioni che verranno eseguite. Queste azioni sono:

• Installare il motore di sincronizzazione (SQL express locale).
• Configurare il Connettore Azure AD.
• Configurare il Connettore <domain>.
• Abilitare la sincronizzazione dell’hash della password.
• Abilitare l’aggiornamento automatico.
• Configurare i servizi di sincronizzazione.
• Eseguire il processo di sincronizzazione iniziale.

Per procedere con l’installazione, clicca su Installa.

A questo punto, devi solo aspettare che l’installazione sia completata.

Infine, dopo che l’installazione, la configurazione e la sincronizzazione iniziale sono completate, vedrai una pagina di stato simile all’immagine sotto. Prendi nota dei promemoria e delle raccomandazioni, quindi clicca su Esci.

Verifica dell’installazione di Azure AD Connect

Ora che hai installato Azure AD Connect sul tuo server, vorrai assicurarti che l’installazione sia avvenuta con successo e che la sincronizzazione della directory funzioni. In questa sezione, imparerai diversi modi per confermare che la sincronizzazione di Azure AD Connect sia funzionale.

Verifica di Azure AD Connect nel Centro amministrativo di Microsoft 365

Lo stato di Azure AD Connect è disponibile tramite una scheda predefinita nel centro amministrativo di Microsoft 365.

Prima, accedi al portale del Microsoft 365 admin center. Una volta effettuato l’accesso, dovresti vedere lo stato di Azure AD Connect sotto la scheda Gestione utenti. Guarda lo screenshot qui sotto per riferimento.

Come puoi vedere dallo screenshot sopra, lo stato di Azure AD Connect mostra che la recente Sincronizzazione della directory è stata eseguita 17 minuti fa. Inoltre, la sincronizzazione delle password è abilitata.

Verifica dello stato di sincronizzazione dell’account utente nel Centro amministrativo di Microsoft 365

Puoi anche verificare se gli account nel tuo Active Directory locale sono sincronizzati con Office 365.

Per verificare lo stato di sincronizzazione dell’account utente, nel centro amministrativo di Microsoft 365, vai a Utenti —> Utenti attivi. Quando guardi l’elenco degli utenti, vedrai la colonna Stato di sincronizzazione che indica se l’account è Nel cloud o Sincronizzato da locale

Ovviamente, gli account che sono nel cloud sono quelli provisionati direttamente in Office 365 e non esistono nel tuo Active Directory locale.

Mentre gli account sincronizzati da locale esistono localmente e sono sincronizzati nel cloud.

Verifica di Azure AD Connect nel Centro amministrativo di Azure AD

Prima, accedi al portale. Poi, vai a Azure Active Directory —> Azure AD Connect. Nella sezione sincronizzazione Azure AD Connect, dovresti vedere lo stato attuale della sincronizzazione della directory.

Come puoi vedere dall’immagine qui sotto, mostra che lo stato di sincronizzazione di Azure AD Connect è Abilitato, l’ultimo stato di sincronizzazione indica che è stato meno di 1 ora fa. Infine, il valore Sincronizzazione Hash Password è Abilitato.

Verificare la fonte dell’account utente nel Centro amministrativo di Azure AD

Un altro modo per verificare che la sincronizzazione funzioni è controllando la fonte dell’account utente.

Prima, accedi al portale. Poi, vai a Utenti —> Tutti gli utenti. Sotto l’elenco degli utenti, vedrai nella colonna Fonte se l’account proviene da Windows Server AD – il che indica che l’account è sincronizzato dall’Active Directory on-premise.

Verificare lo stato di sincronizzazione della directory utilizzando PowerShell

Per visualizzare lo stato attuale della sincronizzazione di Azure AD, devi prima connetterti a Azure AD. Poi, usa il comando sottostante per recuperare le informazioni relative allo stato di sincronizzazione della directory della tua organizzazione.

Get-MsolCompanyInformation

Dopo aver eseguito il comando sopra, dovresti vedere un output simile in PowerShell, come mostrato di seguito. Come puoi vedere nell’immagine sottostante:

• Il valore di DirectorySynchronizationEnabled è True.
• L’account configurato come account del servizio di sincronizzazione è mostrato.
• I valori DateTime di LastDirSyncTime e LastPasswordSyncTime sono popolati.
• Il valore di PasswordSynchronizationEnabled è True

Verifica del programma di sincronizzazione del ciclo di Azure AD Connect

Quando installi Azure AD Connect, il modulo PowerShell AdSync viene installato insieme ad esso. Utilizzando il modulo AdSync, puoi anche verificare lo stato corrente della sincronizzazione di Azure AD Connect sul tuo server.

Per prima cosa, apri PowerShell e quindi esegui questo comando qui sotto.

Get-ADSyncScheduler

Dopo aver eseguito il codice sopra, il risultato ti mostrerebbe quanto segue:

• L’intervallo di ciclo di sincronizzazione pianificato (AllowedSyncCycleInterval)
• Se il programma di sincronizzazione del ciclo è abilitato (SyncCycleEnabled)
• Quando è pianificata la prossima sincronizzazione (NextSyncCycleStartTimeInUTC)
• Il tipo di sincronizzazione che è programmato per essere eseguito successivamente (NextSyncCyclePolicyType)

Eseguire manualmente una sincronizzazione Delta

L’esecuzione di una sincronizzazione delta manuale è un modo per verificare se la sincronizzazione sta funzionando come previsto. La sincronizzazione delta significa che stai sincronizzando solo le modifiche apportate dopo l’ultima esecuzione della sincronizzazione delle directory.

Per testare la sincronizzazione delta, scegli un account dal tuo Active Directory locale e modifica il valore del nome visualizzato. In questo esempio, verrà utilizzato l’account utente AdSync e il nome visualizzato verrà cambiato in AdSync1.

Quindi, in PowerShell, esegui il comando qui sotto.

Start-ADSyncSyncCycle -PolicyType Delta

Dopo aver eseguito il comando precedente, attendi il risultato, come mostrato nell’immagine qui sotto.

Successivamente, vai al centro di amministrazione di Azure AD per confermare che il nome visualizzato sia stato modificato. L’immagine qui sotto mostra il nome visualizzato dell’utente AdSync prima e dopo l’esecuzione della sincronizzazione delta.

Rimuovere Azure AD Connect

Potrebbe arrivare il momento in cui deciderai di rimuovere Azure AD Connect e disabilitare la sincronizzazione delle directory per la tua organizzazione.

Supponiamo che tu abbia un’organizzazione di piccole dimensioni e che tu abbia già migrato tutti gli utenti nel cloud. Non hai più bisogno di mantenere alcun server nel tuo data center. Questo è un motivo per rimuovere Azure AD Connect.

Disinstallazione di Azure AD Connect dal server

Per rimuovere Azure AD Connect, segui questi passaggi. Prima, disinstalla Azure AD Connect dal tuo server.

Quando compare la finestra Disinstalla Azure AD Connect, assicurati di selezionare Disinstalla anche i componenti di supporto. Quindi, fai clic su Rimuovi.

Attendere il completamento del processo di disinstallazione e dovresti vedere una pagina di conferma come quella riportata di seguito.

Disabilitazione della sincronizzazione della directory

Dopo aver disinstallato Azure AD Connect dal server, l’ultima azione consiste nel disabilitare DirSync.

Devi prima connetterti ad Azure AD utilizzando PowerShell. Successivamente, utilizza il comando seguente per disabilitare la sincronizzazione della directory per il tenant di Azure AD.

Set-MsolDirSyncEnabled -EnableDirSync $false

Dopo aver eseguito il comando, potresti ricevere un errore simile a quello mostrato nella schermata seguente.

L’errore sopra indicato significa che non sei ancora autorizzato a disabilitare la sincronizzazione. Potrebbero essere necessari alcuni minuti o alcuni giorni, a seconda delle dimensioni del tenant, prima di poter disabilitare DirSync.

Quando ciò accade, tutto ciò che puoi fare è attendere e riprovare lo stesso comando. In questo esempio, sono stati necessari circa 15 minuti di attesa. L’esecuzione del comando per disabilitare DirSync questa volta è stata positiva.

Dopo aver disabilitato DirSync e rimosso Azure AD Connect, gli account precedentemente sincronizzati dal tuo AD locale ad Azure AD verranno convertiti in un account cloud. Questi account convertiti non verranno più visualizzati come sincronizzati da locale.

Potrebbe essere necessario attendere diverse ore affinché gli account vengano completamente convertiti da locale a cloud. In questo articolo, sono stati necessari circa trentasei (36) ore per completare la conversione dopo la disabilitazione della sincronizzazione della directory. Vedi il confronto prima e dopo di seguito.

Conclusione

Azure AD Connect è un ottimo strumento che consente la sincronizzazione degli account utente locali al proprio Azure AD / Office 365. Quando configurato correttamente, gli utenti non dovranno essere provvisti di account separati per accedere alle risorse locali e cloud.

È possibile effettuare ulteriori configurazioni con Azure AD Connect rispetto a quanto trattato in questo articolo. Azure AD Connect può essere personalizzato per modificare l’intervallo del ciclo di sincronizzazione o disabilitare l’aggiornamento automatico quando si desidera avere maggiore controllo sugli aggiornamenti.

I hope that what you’ve learned in this article, although as basic as possible, could help you get a better understanding of how to install, configure and use Azure AD Connect for your Office 365 tenancy.

Ulteriori letture

• Configurazione dell’associazione ibrida di Azure AD
• Come abilitare il Cestino del recupero di Active Directory (Server 2016)
• Come rimuovere completamente Microsoft Azure AD Connect
• Il modo corretto per rimuovere Azure AD Connect