Come scaricare, installare e configurare Azure AD Connect V2

Tutorial

In questa guida, fornirò informazioni su dove scaricare Azure Active Directory (recentemente rinominato Microsoft Entra ID) Connect V2 e ti guiderò nell’installazione e configurazione di esso.

Microsoft afferma che la topologia più comune è quella di un singolo forest su locali, con uno o più domini, e un singolo Azure AD tenant. La mia guida seguirà questa topologia, utilizzando un nuovo forest e dominio di Windows Server 2019, un Azure AD tenant che utilizza una licenza di prova Premium P2, e un dominio personalizzato verificato.

Scarica Azure AD Connect e configuralo

Prima di addentrarci nei dettagli, ecco i 6 passaggi di alto livello necessari per configurare e far funzionare Azure AD Connect V2:

  1. Scarica Azure AD Connect
  2. Esegui l’installazione
  3. Configura l’accesso degli utenti
  4. Collega le tue directory
  5. Configura le opzioni avanzate
  6. Avvia la sincronizzazione delle directory

Cos’è Azure AD Connect?

In poche parole, Azure AD Connect ti permette di sincronizzare il tuo Active Directory (AD) con Azure AD. Ciò estende il tuo vecchio ma ancora fondamentale Active Directory di Windows Server al Azure AD ospitato nel cloud di Microsoft, aiutandoti a raggiungere il tuo obiettivo di creare un’identità ibrida.

Se non conosci questi termini o hai bisogno di un ripasso, non preoccuparti. Ti consigliamo di dedicare del tempo a consultare il nostro confronto tra Active Directory e Azure Active Directory prima di procedere.

Azure AD Connect include funzionalità come la sincronizzazione dell’hash della password (PHS), l’autenticazione in-transito (PTA) e l’integrazione con i Servizi di Federazione dell’Active Directory (AD FS). Queste e altre funzionalità sono spiegate nella pagina di supporto di Microsoft su Cos’è Azure AD Connect.

Inoltre, si noti che Azure Active Directory Domain Services (Azure AD DS) è un’offerta diversa di Microsoft e non è trattata in questa guida.

Novità in Azure AD Connect V2

Azure AD Connect 2 porta alcuni cambiamenti significativi:

  • SQL Server 2019 LocalDB
  • Libreria di autenticazione MSAL
  • Visual C++ Redist 14
  • TLS 1.2 (1.0 e 1.1 non sono più supportati)
  • Tutti i binari firmati con SHA2
  • Windows Server 2012 e Windows Server 2012 R2 non sono più supportati
  • PowerShell 5.0

Microsoft ha già annunciato che tutte le versioni di Azure AD Connect V1 saranno ritirate il 31 agosto 2022. Questo da solo dovrebbe essere un buon incentivo per eseguire l’aggiornamento a Azure AD Connect V2.

Si prega di consultare l’articolo di Petri Russel Smith su cosa c’è di nuovo in Azure AD Connect V2 per maggiori informazioni sulle principali novità in Azure AD Connect V2. Inoltre, la pagina di supporto di Microsoft Azure AD Connect: Version release history contiene ulteriori dettagli importanti sulle nuove funzionalità.

Prerequisiti per Azure AD Connect V2

Prima di poter installare Azure AD Connect V2, ci sono alcune cose di cui avremo bisogno:

  • Un tenant di Azure AD, che può essere gratuito o premium (a pagamento)
  • Un server Windows in locale o hosted in cloud (su una macchina virtuale Infrastructure as a Service) in esecuzione come controller di dominio AD (le versioni precedenti di Windows Server funzionano ma alcune funzionalità come il recupero della password richiederanno la versione 2016 o successiva)
  • Il tuo controller di dominio deve essere scrivibile, i controller di dominio in sola lettura (RODC) non sono supportati.
  • Idealmente, Azure AD Connect dovrebbe essere installato su un server dedicato connesso a dominio, ma è anche possibile installarlo sul controller di dominio (è richiesto Windows Server 2016 o successivo con Desktop Experience per Azure AD Connect V2)
  • . Utilizzare account AD e AAD per il server Azure AD Connect. Microsoft differenzia gli account utilizzati per il funzionamento di Azure AD Connect da quelli utilizzati per la sua installazione e configurazione.

Per questa guida, useremo semplicemente un account Global Administrator per il tenant Azure AD e un membro del gruppo AD Enterprise Admins per la connettività AD. Nei tuoi ambienti di produzione, assicurati di utilizzare account dedicati che coprano solo i permessi minimi richiesti per la tua situazione e mantieni al sicuro la tua password. Consulta la pagina di supporto di Microsoft su Azure AD Connect: Account e autorizzazioni per tutti i dettagli.

Installazione e configurazione di Azure AD Connect V2.

La prima cosa che dovremo fare è scaricare il programma di installazione di Azure AD Connect. Ecco come procedere.

Scarica Azure AD Connect

  • Accedi al tuo Portale Azure
  • Naviga fino a Azure Active Directory
  • Nella sezione Gestione, seleziona Azure AD Connect e clicca su Scarica Azure AD Connect.
Download Azure AD Connect (Image Credit: Michael Taschler)

Esegui il programma di installazione di Azure AD Connect

Una volta scaricato, eseguiremo questo programma di installazione (AzureADConnect.msi) sul nostro server Azure AD Connect (controller di dominio o server dedicato). Sono necessari privilegi elevati per questo, assicurati di selezionare quando richiesto.

Una volta caricato il programma di installazione, verrai accolto dalla schermata di Benvenuto in Azure AD Connect. Una volta accettati i termini della licenza e l’ informativa sulla privacy, clicca Continua.

Azure AD Connect Welcome screen (Image Credit: Michael Taschler)

Scegli impostazioni personalizzate

Nella schermata Impostazioni Express, è necessario selezionare Personalizza in fondo alla pagina. Le Impostazioni Express potrebbero essere adatte per molti ambienti, ma alcune impostazioni possono essere configurate solo tramite l’installazione delle Impostazioni personalizzate.

Azure AD Connect Express Settings screen (Image Credit: Michael Taschler)

Nella schermata Installare i componenti richiesti, puoi personalizzare le impostazioni che influenzano Azure AD Connect:

  • Specificare una posizione di installazione personalizzata
  • Utilizzare un server SQL esistente (per ambienti più grandi e requisiti di alta disponibilità)
  • Usare un account di servizio esistente (potrebbe essere necessario utilizzare un account pre-creato nel proprio ambiente)
  • Specificare gruppi di sincronizzazione personalizzati (permettendoti di impostare i propri gruppi di sicurezza locali invece di quelli predefiniti)
  • Importare impostazioni di sincronizzazione (che sono state esportate da un’altra installazione di Azure AD Connect)

Dopo aver completato la tua selezione, fai clic su Installa. Il programma di installazione installerà i componenti necessari come il Servizio di Sincronizzazione.

Azure AD Connect Install Required Components screen (Image Credit: Michael Taschler)

Configurare l’accesso utente

Dopo alcuni istanti, comparirà la schermata Accesso utente. Puoi selezionare una delle seguenti opzioni:

  • Sincronizzazione dell’hash della password (scelta predefinita)
  • Autenticazione pass-through
  • Federazione con AD FS
  • Federazione con PingFederate
  • Non configurare

Puoi anche abilitare il single sign-on per i tuoi utenti. Scegli il metodo desiderato (per questa guida stiamo utilizzando la Sincronizzazione dell’hash della password) e fai clic su Avanti.

Azure AD Connect User Sign-in screen (Image Credit: Michael Taschler)

Sullo schermo Connettersi ad Azure AD, inserisci le credenziali del tuo account Azure AD (vedi prerequisiti nella sezione precedente). Potresti essere invitato a cambiare la tua password se non hai mai effettuato l’accesso con questo account in precedenza. Inoltre, se l’MFA è abilitato sul tuo account, potresti essere sfidato a soddisfare i requisiti impostati dalla tua organizzazione.

Fai clic su Avanti per continuare.

Azure AD Connect Connect to Azure AD screen (Image Credit: Michael Taschler)

Collega le tue directory

Sulla schermata Collega le tue directory, sotto la voce FORESTA, seleziona la tua directory e fai clic su Aggiungi Directory.

Azure AD Connect Connect Your Directories screen (Image Credit: Michael Taschler)

In una finestra pop-up, ti verrà richiesto di selezionare Crea un nuovo account o Utilizza un account esistente. Questo account verrà utilizzato per la sincronizzazione della directory.

Se hai già creato un account per questo scopo, assicurati che NON sia membro del gruppo Enterprise Admins o Domain Admins. Per questa guida, creeremo un nuovo account.

Vedrai la tua directory aggiunta elencata sotto DIRECTORIES CONFIGURATE. Hai anche la possibilità di rimuovere una o più directory aggiunte in caso i tuoi requisiti o circostanze siano cambiate.

Una volta completato, fai clic su Avanti.

Azure AD Connect Connect Your Directories screen (Image Credit: Michael Taschler)

Scegli come i tuoi utenti verranno identificati in Azure AD

Nella schermata di configurazione dell’Accesso a Azure AD, vedrai il Suffisso UPN dell’Active Directory e lo stato del Dominio di Azure AD corrispondente per tutte le directory aggiunte. Se uno qualsiasi dei tuoi domini non è verificato o aggiunto, allora puoi risolvere questo problema e aggiornare la schermata utilizzando l’icona di Aggiornamento sotto la tabella.

Nella stessa pagina, avrai anche la possibilità di personalizzare il tuo Nome Principale Utente (UPN), l’attributo in locale che verrà utilizzato come nome utente di Azure AD.

Azure AD Connect Azure AD Sign-in Configuration screen (Image Credit: Michael Taschler)

Ti sarà richiesto di prendere una decisione critica su come i tuoi utenti saranno identificati in Azure AD. A differenza di Active Directory, Azure AD non consente duplicati.

Parlando in modo rigoroso, AD non consente duplicati neanche, ma non lo applica davvero. Potresti avere UPN duplicati nel tuo AD e farlo passare, mentre Azure AD sincronizzerà solo il primo account, ignorando quelli successivi. Potresti anche avere gli stessi nomi utente in più directory e la stessa limitazione si applicherà.

Se sei preoccupato che questo possa applicarsi a te, allora puoi verificare il tuo AD utilizzando idFix prima di avviare la configurazione di Azure AD Connect. Consulta la pagina GitHub di Microsoft su idFix per ulteriori informazioni.

Di solito, è possibile lasciare impostato il valore predefinito userPrincipalName, ma le circostanze specifiche possono variare. I nomi di dominio non instradabili (comuni sono .local o .internal) sono anche una buona ragione per cambiare il tuo UPN, ma questo può essere affrontato anche aggiungendo un suffisso UPN alternativo (e instradabile) tramite Active Directory Domain and Trusts.

Fai clic su Avanti per continuare.

Scegli i domini e le OU che desideri sincronizzare

Nella schermata Filtro domini e OU, puoi sincronizzare tutti i domini e le Unità Organizzative (OU) o personalizzare quali desideri sincronizzare. Microsoft afferma che alcune OU sono essenziali per la funzionalità e dovresti lasciarle selezionate. La documentazione di Microsoft su Filtro basato sull’unità organizzativa fornisce ulteriori informazioni su queste OU.

Fai clic su Avanti per continuare.

Azure AD Connect Domain and OU Filtering screen (Image Credit: Michael Taschler)

Nella schermata Identifica in modo univoco i tuoi utenti, seleziona le opzioni più in linea con la tua infrastruttura. Come nella sezione precedente, è fondamentale fare le cose nel modo giusto.

Anche se i valori predefiniti possono andare bene per molte organizzazioni, il tuo ambiente potrebbe richiederti di dedicare del tempo ed effort per identificare i valori migliori per te. Consulta la pagina di supporto di Microsoft su Identificare in modo univoco i tuoi utenti per ulteriori informazioni.

Una volta pronto, clicca su Avanti per continuare.

Azure AD Connect Uniquely Identifying Your Users screen (Image Credit: Michael Taschler)

Scegli quali utenti e dispositivi verranno sincronizzati con Azure AD

Nella schermata Filtra utenti e dispositivi, puoi limitare quali utenti e dispositivi verranno sincronizzati con Azure AD specificando un singolo gruppo. Questo è un modo comodo per limitare la tua installazione pilota iniziale.

Queste impostazioni possono essere modificate dopo aver completato la tua installazione pilota e risolto tutti i problemi della tua implementazione, se ne incontri. Se desideri utilizzarlo, inserisci semplicemente il nome del tuo gruppo pilota e clicca sul pulsante Risolvi.

Tieni presente che Microsoft avverte che questa funzionalità non è destinata all’uso in una implementazione in produzione, quindi assicurati di cambiarla prima del lancio.

Per questa guida, ho creato un gruppo chiamato HybridUsers e ho aggiunto tutti i miei utenti di prova.

Clicca su Avanti per continuare.

Azure AD Connect Filter Users and Devices screen (Image Credit: Michael Taschler)

Scegli le funzionalità opzionali di cui la tua organizzazione ha bisogno

Sulla schermata delle Funzionalità opzionali, puoi impostare ulteriori impostazioni uniche alle esigenze della tua organizzazione:

  • Implementazione ibrida di Exchange (per la coesistenza con Exchange in locale ed Exchange Online)
  • Cartelle Pubbliche di Posta di Exchange (per sincronizzare gli oggetti di cartelle pubbliche abilitate alla posta dal tuo’istanza di Active Directory in locale ad Azure AD)
  • Filtro app e attributi di Azure AD (per limitare quali attributi sincronizzare in Azure AD)
  • Sincronizzazione dell’hash della password
  • Ripristino della password (per consentire ai tuoi utenti di reimpostare autonomamente la password dei loro account, consentendoti di ridurre le chiamate di assistenza)
  • Ripristino del gruppo (per ripristinare specifici gruppi di Azure AD nel tuo AD)
  • Ripristino del dispositivo (per ripristinare i dispositivi registrati in Azure AD nel tuo AD)
  • Sincronizzazione degli attributi estensione directory (per sincronizzare gli attributi AD personalizzati nel tuo Azure AD)

Per questa guida, manterrò i valori predefiniti. Per il tuo ambiente, assicurati di selezionare le impostazioni più appropriate e tieni presente che alcune hanno requisiti specifici. Microsoft fornisce ulteriori informazioni sulla sua Pagina di supporto alle funzionalità facoltative.

Fai clic su Avanti per continuare.

Azure AD Connect Optional Features screen (Image Credit: Michael Taschler)

Scegli le tue opzioni prima di avviare il processo di sincronizzazione

Siamo arrivati alla schermata Pronto per la configurazione, che ti fornisce una panoramica selettiva delle tue scelte. Ti consente anche di impostare le seguenti due opzioni:

  • Avvia il processo di sincronizzazione quando la configurazione è completata (deselezionando questa opzione si rinviene l’avvio del processo di sincronizzazione)
  • Abilita la modalità di staging: Quando selezionata, la sincronizzazione non esporterà alcun dato in AD o Azure AD (in questa istanza di Azure AD Connect verranno comunque importate le impostazioni)

Potrebbe essere utile avere pronto un secondo server Azure AD Connect per assimilare i tuoi dati nel caso in cui il primo diventi non disponibile. Questo ti consente di trasformare (manualmente) il secondo server in quello attivamente in sincronizzazione, saltando l’intero processo di installazione o la necessità di ripristino da un backup. Sarai la persona migliore per determinare come configurare al meglio i tuoi server Azure AD Connect.

Fai clic su Installa una volta confermato che tutte le impostazioni siano corrette.

Azure AD Connect Ready To Configure Screen (Image Credit: Michael Taschler)

Ora, Azure AD Connect implementerà le tue impostazioni, installerà diversi componenti e avvierà la sincronizzazione iniziale tra il tuo AD e il tuo Azure AD. Questo potrebbe richiedere del tempo a seconda delle dimensioni del tuo AD.

Once completed, the final screen will be displayed, providing you with the next steps and recommendations like the Active Directory Recycle Bin. Click Exit to close the installer, and make sure you sign out and back in again before launching any of the Azure AD Connect tools like the Synchronization Rules Editor.

Azure AD Connect Ready To Configure Configuration Complete Screen (Image Credit: Michael Taschler)

Verifica che Azure AD Connect stia funzionando correttamente

Quello che vedrai dipenderà dalle scelte fatte durante l’installazione. Se hai seguito le mie istruzioni, allora il tuo ambiente dovrebbe apparire simile.

Nel tuo Portale di Azure, vai su Azure Active Directory, e nella sezione Gestisci seleziona Azure AD Connect. Noterai che i valori di Stato della sincronizzazioneUltima sincronizzazione e Password Hash Sync sono cambiati, a conferma che il servizio è attivo.

Azure Portal Azure AD Connect Section (Image Credit: Michael Taschler)

Sempre in Azure Active Directory, nella sezione Gestisci, seleziona Utenti. Troverai tutti gli utenti selezionati on-prem (AD) sincronizzati con Azure AD. Nota la colonna Directory sincronizzata, che ti permetterà di determinare facilmente se un account è stato sincronizzato dal tuo AD on-prem o creato direttamente in cloud (Azure AD).

The UPNs are also in the format selected during the setup, so you might see a difference between your AD and Azure AD accounts. Also, bear in mind that these synced accounts are still managed from your on-premises AD. Unlike their born-in-the-cloud (Azure AD) counterparts, when clicking into a synced account in Azure AD, most settings are greyed out.

Azure Portal Synced Users (Image Credit: Michael Taschler)

Riconfigurazione dell’Azure AD Connect e degli strumenti aggiuntivi

Troverai una nuova scorciatoia (Azure AD Connect) sul tuo desktop, che ti permetterà di riconfigurare alcune impostazioni dell’Azure AD Connect. Potresti vedere una selezione diversa di opzioni a seconda delle scelte originali di installazione.

Inoltre, il compito Visualizza o esporta configurazione attuale ti consente di fare comodamente un backup delle impostazioni di Azure AD Connect, che potrebbe anche soddisfare alcuni dei tuoi requisiti di documentazione. Risoluzione dei problemi ti permette di avviare lo Strumento di risoluzione dei problemi di Azure AD Connect che si apre in una finestra PowerShell.

Il pianificatore del servizio di sincronizzazione viene sospeso durante l’esecuzione della procedura guidata, anche se non apporti modifiche, quindi assicurati di non lasciarlo aperto accidentalmente.

Azure AD Connect Reconfigure (Image Credit: Michael Taschler)

Azure AD Connect installa ed abilita ulteriori strumenti e portali che ti aiuteranno a ottenere il massimo dalla tua configurazione di identità ibrida:

  • Azure AD Connect Health (un portale che ti consente di visualizzare avvisi, monitoraggio delle prestazioni, analisi dell’utilizzo e altre informazioni)
  • Gestione del servizio di sincronizzazione (per configurare aspetti più avanzati del motore di sincronizzazione e per vedere gli aspetti operativi del servizio)
  • Editor delle regole di sincronizzazione (per visualizzare, creare e modificare regole di sincronizzazione)
  • Connettore per servizi Web (per connettersi a vari sistemi come SAP ECC, Oracle PeopleSoft ed eBusiness)

Ora che abbiamo installato Azure AD Connect V2 e verificato che le due directory siano sincronizzate tra loro, potrebbe essere il momento di esaminare alcuni casi d’uso più avanzati come abilitare l’accesso Single Sign-On (SSO) e l’autenticazione Pass-through. Inoltre, sarà necessario rimanere aggiornati sulle nuove versioni di Azure AD Connect, poiché Microsoft tende a rilasciare nuove funzionalità e a rimuovere occasionalmente alcune che potresti utilizzare nel tuo ambiente.

Articolo correlato:

Source:
https://petri.com/how-to-install-and-configure-azure-ad-connect-v2/