Preparare il provisioning degli utenti tramite la sincronizzazione della directory con Office 365

Il provisioning degli utenti con la sincronizzazione della directory richiede una maggiore pianificazione e preparazione rispetto alla semplice gestione dell'account aziendale o dell'istituto di istruzione direttamente in Office 365. Le attività di pianificazione e preparazione aggiuntive sono necessarie per garantire la sincronizzazione corretta tra la distribuzione locale di Active Directory e Azure Active Directory. Gli ulteriori vantaggi per l'organizzazione includono:

  • Riduzione dei programmi amministrativi nell'organizzazione

  • Facoltativamente, abilitazione di scenari di Single Sign-On

  • Automazione delle modifiche agli account in Office 365

Per altre informazioni sui vantaggi derivanti dall'uso della sincronizzazione della directory, vedere Roadmap sulla sincronizzazione della directory e Informazioni sulle identità di Office 365 e Azure Active Directory.

Per determinare lo scenario più appropriato per l'organizzazione, vedere Confronto tra strumenti di integrazione della directory.

Attività di pulizia della directory

Prima di iniziare la sincronizzazione della directory, è necessario pulirla.

Esaminare anche gli attributi sincronizzati con Azure Active Directory da Azure AD Connect.

Avviso : Se non si esegue la pulizia della directory prima di sincronizzarla, possono verificarsi ripercussioni negative sul processo di distribuzione. Il ciclo di sincronizzazione della directory, identificazione degli errori e ripetizione della sincronizzazione potrebbe richiedere giorni o persino settimane.

Nella directory locale eseguire le attività di pulizia seguenti:

  • Verificare che ogni utente a cui saranno assegnate offerte di servizi Office 365 abbia un indirizzo di posta elettronica valido e univoco nell'attributo proxyAddresses.

  • Rimuovere gli eventuali valori duplicati nell'attributo proxyAddresses.

  • Se possibile, assicurarsi che ogni utente a cui verranno assegnate offerte di servizi di Office 365 abbia un valore valido e univoco per l'attributo userPrincipalName dell'oggetto user. Per un'esperienza di sincronizzazione ottimale, assicurarsi che il nome dell'entità utente (UPN) di Active Directory locale corrisponda all'UPN sul cloud. Se un utente non ha un valore per l'attributo userPrincipalName, l'oggetto user deve contenere un valore valido e univoco per l'attributo sAMAccountName. Rimuovere gli eventuali valori duplicati nell'attributo userPrincipalName.

  • Per un uso ottimale dell'Elenco indirizzi globale, verificare che le informazioni negli attributi seguenti siano corrette:

    • givenName

    • surname

    • displayName

    • Posizione

    • Reparto

    • Ufficio

    • Telefono ufficio

    • Telefono cellulare

    • Fax

    • Via e numero civico

    • Città

    • Provincia

    • CAP

    • Paese o area geografica

Preparazione degli oggetti directory e degli attributi

Per la riuscita della sincronizzazione tra la directory locale e Office 365, è necessario preparare correttamente gli attributi della directory locale. Ad esempio, è necessario assicurarsi che alcuni attributi che vengono sincronizzati con l'ambiente Office 365 non contengano determinati caratteri. L'uso di caratteri imprevisti non impedisce la sincronizzazione della directory, ma può causare la visualizzazione di un avviso. Usando caratteri non validi, al contrario, la sincronizzazione della directory avrà esito negativo.

La sincronizzazione della directory non riesce anche se alcuni utenti di Active Directory hanno uno o più attributi duplicati. Ogni utente deve infatti avere attributi univoci.

Ecco un elenco degli attributi da preparare:

NOTA: per semplificare il processo è anche possibile usare lo strumento IdFix.

  • displayName

    • Se l'attributo è presente nell'oggetto utente, verrà sincronizzato con Office 365.

    • Se l'attributo è presente nell'oggetto utente, deve disporre di un valore, ovvero non deve essere vuoto.

    • Numero massimo di caratteri: 255

  • givenName

    • Se l'attributo è presente nell'oggetto utente, verrà sincronizzato con Office 365, ma Office 365 non ne ha bisogno e non lo usa.

    • Numero massimo di caratteri: 63

  • mail

    • Il valore dell'attributo deve essere univoco all'interno della directory.

      Nota : Se sono presenti valori duplicati, verrà sincronizzato il primo utente con il valore. Gli utenti successivi non compariranno in Office 365. Per fare in modo che entrambi gli utenti compaiano in Office 365 è necessario modificare il valore in Office 365 o modificare entrambi i valori nella directory locale.

  • mailNickname (alias di Exchange)

    • Il valore dell'attributo non può iniziare con un punto (.).

    • Il valore dell'attributo deve essere univoco all'interno della directory.

  • proxyAddresses

    • Attributo multivalore

    • Numero massimo di caratteri per valore: 256

    • Il valore dell'attributo non deve contenere uno spazio.

    • Il valore dell'attributo deve essere univoco all'interno della directory.

    • Caratteri non validi: < > ( ) ; , [ ] “

      I caratteri non validi si applicano ai caratteri che seguono il delimitatore di tipo e ":", ad esempio SMTP:Utente@contso.com è consentito, ma SMTP:utente:M@contoso.com no.

      Importante : Tutti gli indirizzi SMTP (Simple Mail Transport Protocol) devono essere conformi agli standard di messaggistica di posta elettronica. In presenza di indirizzi duplicati o indesiderati, vedere l'articolo della Guida Rimozione degli indirizzi proxy duplicati e indesiderati in Exchange.

  • sAMAccountName

    • Numero massimo di caratteri: 20

    • Il valore dell'attributo deve essere univoco all'interno della directory.

    • Caratteri non validi: [ \ “ | , / : < > + = ; ? * ]

    • Se un utente ha un attributo sAMAccountName non valido, ma ha un attributo userPrincipalName valido, l'account utente viene creato in Office 365.

    • Se entrambi gli attributi sAMAccountName e userPrincipalName non sono validi, è necessario aggiornare l'attributo userPrincipalName del servizio Active Directory locale.

  • sn (surname)

    • Se l'attributo è presente nell'oggetto utente, verrà sincronizzato con Office 365, ma Office 365 non ne ha bisogno e non lo usa.

  • targetAddress

    È necessario che l'attributo targetAddress, ad esempio SMTP:luca@contoso.com, specificato per l'utente sia presente nell'Elenco indirizzi globale di Office 365. Negli scenari di migrazione della messaggistica di terzi questo richiederebbe l'estensione dello schema di Office 365 per la directory locale. L'estensione dello schema di Office 365 aggiungerebbe anche altri attributi utili per la gestione degli oggetti di Office 365 i cui dati vengono inseriti usando uno strumento di sincronizzazione della directory dall'ambiente locale. Verrebbe ad esempio aggiunto l'attributo msExchHideFromAddressLists per gestire i gruppi di distribuzione o le cassette postali nascoste.

    • Numero massimo di caratteri: 255

    • Il valore dell'attributo non deve contenere uno spazio.

    • Il valore dell'attributo deve essere univoco all'interno della directory.

    • Caratteri non validi: \ < > ( ) ; , [ ] “

      Tutti gli indirizzi SMTP (Simple Mail Transport Protocol) devono essere conformi agli standard di messaggistica di posta elettronica.

  • userPrincipalName

    • L'attributo userPrincipalName deve essere nel formato di accesso di tipo Internet, in cui il nome utente è seguito dal simbolo chiocciola (@) e da un nome di dominio, ad esempio utente@contoso.com.

      Tutti gli indirizzi SMTP (Simple Mail Transport Protocol) devono essere conformi agli standard di messaggistica di posta elettronica.

    • Il numero massimo di caratteri che un utente può immettere per l'attributo userPrincipalName è pari a 113. Prima e dopo il simbolo chiocciola (@) è consentito un numero specifico di caratteri, come illustrato di seguito:

      • Numero massimo di caratteri per il nome utente prima del simbolo chiocciola (@): 64

      • Numero massimo di caratteri per il nome di dominio dopo il simbolo chiocciola (@): 48

    • Caratteri non validi: \ % & * + / = ?  { } | < > ( ) ; : , [ ] “

      l'umlaut è un altro carattere non valido.

    • Il carattere @ è necessario in ogni valore userPrincipalName.

    • Il carattere @ non può essere il primo carattere in ogni valore userPrincipalName.

    • Il nome utente non può terminare con un punto (.), una e commerciale (&), uno spazio o un simbolo chiocciola (@).

    • Il nome utente non può contenere spazi.

    • È necessario usare domini instradabili. Ad esempio, non è possibile usare domini locali o interni.

    • Unicode viene convertito in caratteri di sottolineatura.

    • userPrincipalName non può contenere valori duplicati nella directory.

Preparare l'attributo userPrincipalName

Active Directory è progettato per consentire agli utenti finali dell'organizzazione di accedere alla directory con sAMAccountName o userPrincipalName. Analogamente, gli utenti finali possono accedere a Office 365 usando il nome dell'entità utente (UPN) del proprio account aziendale o dell'istituto di istruzione. La sincronizzazione della directory prova a creare nuovi utenti in Azure Active Directory usando lo stesso UPN presente nella directory locale. L'UPN viene formattato come un indirizzo di posta elettronica. In Office 365 l'UPN è l'attributo predefinito usato per generare l'indirizzo di posta elettronica. È facile che userPrincipalName (locale e in Azure Active Directory) e l'indirizzo di posta elettronica primario in proxyAddresses siano impostati su valori diversi. In questo caso, possono generare confusione per amministratori e utenti finali.

Per ridurre la confusione è meglio allineare questi attributi. Per soddisfare i requisiti di Single Sign-On con Active Directory Federation Services (ADFS) 2.0, è necessario assicurarsi che gli UPN presenti in Azure Active Directory e in Active Directory locale corrispondano e che usino uno spazio dei nomi di dominio valido.

Aggiungere un suffisso UPN alternativo a Servizi di dominio Active Directory

Può essere necessario aggiungere un suffisso UPN alternativo per associare le credenziali aziendali dell'utente all'ambiente Office 365. Il suffisso UPN è la parte di un UPN che si trova a destra del carattere @. Gli UPN usati per il Single Sign-On possono contenere lettere, numeri, punti, trattini e caratteri di sottolineatura, ma nessun altro tipo di carattere.

Per altre informazioni su come aggiungere un suffisso UPN alternativo a Active Directory, vedere Preparare la sincronizzazione della directory.

Verificare che l'UPN locale corrisponda all'UPN di Office 365

Se è stata già configurata la sincronizzazione della directory, è possibile che l'UPN dell'utente per Office 365 non corrisponda a quello definito nel servizio directory locale. Questo può verificarsi se a un utente è stata assegnata una licenza prima della verifica del dominio. Per ovviare a questo problema, usare PowerShell per correggere il problema degli UPN duplicati per aggiornare l'UPN degli utenti in modo che l'UPN di Office 365 corrisponda al nome utente e al dominio aziendali. Se si sta aggiornando l'UPN nel servizio di directory locale e si vuole sincronizzarlo con l'identità di Azure Active Directory, prima di apportare modifiche in locale è necessario rimuovere la licenza dell'utente da Office 365.

Vedere anche Come preparare un dominio non instradabile, ad esempio un dominio .local, per la sincronizzazione della directory.

Strumenti di integrazione della directory

Per sincronizzazione della directory si intende la sincronizzazione degli oggetti directory (utenti, gruppi e contatti) dall'ambiente Active Directory locale all'infrastruttura di directory di Office 365, Azure Active Directory. Per un elenco degli strumenti disponibili e delle funzionalità corrispondenti, vedere Strumenti di integrazione della directory. Lo strumento consigliato è Microsoft Azure Active Directory Connect. Per altre informazioni su Azure Active Directory Connect, vedere Integrazione delle identità locali con Azure Active Directory.

Quando gli account utente vengono sincronizzati con la directory di Office 365 per la prima volta, vengono contrassegnati come non attivati. Non possono inviare o ricevere posta elettronica e non utilizzano licenze di abbonamento. Quando si è pronti per assegnare gli abbonamenti a Office 365 a utenti specifici, è necessario selezionare e attivare gli utenti assegnando una licenza valida.

Per assegnare le licenze si può anche usare PowerShell. Per una soluzione automatica, vedere l'articolo su come usare PowerShell per assegnare automaticamente licenze agli utenti di Office 365.

Argomenti correlati

Integrazione di Office 365 con ambienti locali
Risoluzione dei problemi di sincronizzazione della directory per Office 365

Amplia le tue competenze
Esplora i corsi di formazione
Ottieni in anticipo le nuove caratteristiche
Partecipa al programma Office Insider

Queste informazioni sono risultate utili?

Grazie per i tuoi commenti e suggerimenti

Grazie per il tuo feedback! Potrebbe essere utile metterti in contatto con uno dei nostri operatori del supporto di Office.

×