Configurare la sincronizzazione con ambito da Microsoft Entra ID a Microsoft Entra Domain Services tramite l'interfaccia di amministrazione di Microsoft Entra

Per fornire servizi di autenticazione, Microsoft Entra Domain Services sincronizza utenti e gruppi da Microsoft Entra ID. In un ambiente ibrido, gli utenti e i gruppi di un ambiente di servizi di dominio di Active Directory locale possono essere prima sincronizzati con Microsoft Entra ID usando Microsoft Entra Connessione e quindi sincronizzati con un dominio gestito di Servizi di dominio.

Per impostazione predefinita, tutti gli utenti e i gruppi di una directory Microsoft Entra vengono sincronizzati con un dominio gestito. Se solo alcuni utenti devono usare Servizi di dominio, è possibile scegliere di sincronizzare solo i gruppi di utenti. È possibile filtrare la sincronizzazione per i gruppi locali, solo cloud o entrambi.

Questo articolo illustra come configurare la sincronizzazione con ambito e quindi modificare o disabilitare il set di utenti con ambito usando l'interfaccia di amministrazione di Microsoft Entra. È anche possibile completare questi passaggi usando PowerShell.

Operazioni preliminari

Per completare le procedure descritte in questo articolo, sono necessari i privilegi e le risorse seguenti:

• Una sottoscrizione di Azure attiva.
  • Se non si ha una sottoscrizione di Azure, creare un account.
• Un tenant di Microsoft Entra associato alla sottoscrizione, sincronizzato con una directory locale o una directory solo cloud.
  • Se necessario, creare un tenant di Microsoft Entra o associare una sottoscrizione di Azure all'account.
• Un dominio gestito di Microsoft Entra Domain Services abilitato e configurato nel tenant di Microsoft Entra.
  • Se necessario, completare l'esercitazione per creare e configurare un dominio gestito di Microsoft Entra Domain Services.
• Per modificare l'ambito di sincronizzazione dei servizi di dominio, sono necessari i ruoli Application Amministrazione istrator e Groups Amministrazione istrator Microsoft Entra nel tenant.

Panoramica della sincronizzazione con ambito

Per impostazione predefinita, tutti gli utenti e i gruppi di una directory Microsoft Entra vengono sincronizzati con un dominio gestito. È possibile definire l'ambito della sincronizzazione solo per gli account utente creati in Microsoft Entra ID o per sincronizzare tutti gli utenti.

Se solo alcuni gruppi di utenti devono accedere al dominio gestito, è possibile selezionare Filtra per diritto al gruppo per sincronizzare solo tali gruppi. Questa sincronizzazione con ambito è basata solo sul gruppo. Quando si configura la sincronizzazione con ambito basato su gruppo, solo gli account utente che appartengono ai gruppi specificati vengono sincronizzati con il dominio gestito. I gruppi annidati non vengono sincronizzati; solo i gruppi specificati vengono sincronizzati.

È possibile modificare l'ambito di sincronizzazione prima o dopo la creazione del dominio gestito. L'ambito della sincronizzazione è definito da un'entità servizio con l'identificatore dell'applicazione 2565bd9d-da50-47d4-8b85-4c97f669dc36. Per evitare la perdita di ambito, non eliminare o modificare l'entità servizio. Se viene eliminato accidentalmente, l'ambito di sincronizzazione non può essere recuperato.

Tenere presente quanto segue se si modifica l'ambito di sincronizzazione:

• Viene eseguita una sincronizzazione completa.
• Gli oggetti non più necessari nel dominio gestito vengono eliminati. Vengono creati nuovi oggetti nel dominio gestito.

Per altre informazioni sul processo di sincronizzazione, vedere Informazioni sulla sincronizzazione in Servizi di dominio Microsoft Entra.

Abilitare la sincronizzazione con ambito

Per abilitare la sincronizzazione con ambito nell'interfaccia di amministrazione di Microsoft Entra, seguire questa procedura:

1. Nell'interfaccia di amministrazione di Microsoft Entra cercare e selezionare Microsoft Entra Domain Services. Scegliere il dominio gestito, ad esempio aaddscontoso.com.

2. Selezionare Sincronizzazione dal menu a sinistra.

3. Per Ambito di sincronizzazione selezionare Solo tutto o Cloud.

4. Per filtrare la sincronizzazione per i gruppi selezionati, fare clic su Mostra gruppi selezionati, scegliere se sincronizzare gruppi solo cloud, gruppi locali o entrambi. Ad esempio, lo screenshot seguente mostra come sincronizzare solo tre gruppi creati in Microsoft Entra ID. Solo gli utenti che appartengono a tali gruppi avranno i propri account sincronizzati con Servizi di dominio.

   

5. Per aggiungere gruppi, fare clic su Aggiungi gruppi, quindi cercare e scegliere i gruppi da aggiungere.

6. Quando vengono apportate tutte le modifiche, selezionare Salva ambito di sincronizzazione.

La modifica dell'ambito della sincronizzazione fa sì che il dominio gestito risincronizzi tutti i dati. Gli oggetti non più necessari nel dominio gestito vengono eliminati e la risincronizzazione potrebbe richiedere del tempo.

Modificare la sincronizzazione con ambito

Per modificare l'elenco di gruppi i cui utenti devono essere sincronizzati con il dominio gestito, seguire questa procedura:

1. Nell'interfaccia di amministrazione di Microsoft Entra cercare e selezionare Microsoft Entra Domain Services. Scegliere il dominio gestito, ad esempio aaddscontoso.com.
2. Selezionare Sincronizzazione dal menu a sinistra.
3. Per aggiungere un gruppo, scegliere + Aggiungi gruppi nella parte superiore, quindi scegliere i gruppi da aggiungere.
4. Per rimuovere un gruppo dall'ambito di sincronizzazione, selezionarlo nell'elenco dei gruppi attualmente sincronizzati e scegliere Rimuovi gruppi.
5. Quando vengono apportate tutte le modifiche, selezionare Salva ambito di sincronizzazione.

La modifica dell'ambito della sincronizzazione fa sì che il dominio gestito risincronizzi tutti i dati. Gli oggetti non più necessari nel dominio gestito vengono eliminati e la risincronizzazione potrebbe richiedere del tempo.

Disabilitare la sincronizzazione con ambito

Per disabilitare la sincronizzazione con ambito gruppo per un dominio gestito, completare la procedura seguente:

1. Nell'interfaccia di amministrazione di Microsoft Entra cercare e selezionare Microsoft Entra Domain Services. Scegliere il dominio gestito, ad esempio aaddscontoso.com.
2. Selezionare Sincronizzazione dal menu a sinistra.
3. Deselezionare la casella di controllo Mostra gruppi selezionati e fare clic su Salva ambito di sincronizzazione.

La modifica dell'ambito della sincronizzazione fa sì che il dominio gestito risincronizzi tutti i dati. Gli oggetti non più necessari nel dominio gestito vengono eliminati e la risincronizzazione potrebbe richiedere del tempo.

Passaggi successivi

Per altre informazioni sul processo di sincronizzazione, vedere Informazioni sulla sincronizzazione in Servizi di dominio Microsoft Entra.