Che cos'è una directory di Azure AD?
Aggiornamento: 6 luglio 2015
Si applica a: Azure, Office 365, Windows Intune
Nota
Questo argomento fornisce contenuto della Guida online per i servizi cloud, ad esempio Microsoft Intune e Office 365, che si basano su Microsoft Azure Active Directory per i servizi di identità e directory.
Questo argomento spiega attività e concetti importanti relativi alla gestione delle directory di Azure AD e include le seguenti sezioni:
Che cos'è un tenant di Azure AD?
Come ottenere una directory di Azure AD
Associare una directory di Azure AD a una nuova sottoscrizione di Azure
Creazione di una directory di Azure AD effettuando l'iscrizione a un servizio come organizzazione
Gestire una directory predefinita di cui Azure ha eseguito il provisioning
Aggiunta e gestione di più directory di Azure AD
Eliminazione di una directory di Azure AD
- Condizioni da soddisfare per eliminare una directory di Azure AD
Che cos'è un tenant di Azure AD?
Nell'area di lavoro fisica, il termine tenant può essere definito come un gruppo o un'azienda che occupa un edificio. Un'organizzazione, ad esempio, può essere proprietaria di uno spazio adibito a ufficio in un edificio. L'edificio può trovarsi in una strada dove sono presenti numerose altre organizzazioni. L'organizzazione verrebbe considerata un tenant di tale edificio. L'edificio è un asset dell'organizzazione che fornisce sicurezza e offre l'opportunità di lavorare in un ambiente protetto. È inoltre separato dalle altre aziende nella stessa strada. Ciò garantisce che l'organizzazione e le sue risorse siano isolate dalle altre organizzazioni.
Nell'area di lavoro abilitata per il cloud, un tenant può essere definito come un client o un'organizzazione che possiede e gestisce un'istanza specifica di tale servizio cloud. Con la piattaforma delle identità fornita da Microsoft Azure, un tenant è semplicemente un'istanza dedicata di Azure Active Directory (Azure AD) che l'organizzazione riceve e di cui diventa proprietaria quando effettua l'iscrizione a un servizio cloud Microsoft, ad esempio Azure o Office 365.
Ogni directory di Azure AD è distinta e separata dalle altre directory di Azure AD. Proprio come un edificio di uffici è un asset sicuro specifico solo dell'organizzazione che vi ha sede, anche una directory di Azure AD è stata progettata per essere un asset sicuro usato solo dall'organizzazione proprietaria. L'architettura di Azure AD isola le informazioni relative all'identità e i dati dei clienti evitando che si combinino con altri. Questo significa che gli utenti e gli amministratori di una directory di Azure AD non possono accedere accidentalmente o con dolo ai dati presenti in un'altra directory.
.png "Azure AD Tenant")
Come ottenere una directory di Azure AD
Quando si effettua l'iscrizione a un servizio cloud Microsoft, si ottiene una directory di Azure AD. È possibile creare altre directory, se necessario. Ad esempio, è possibile usare la prima directory come directory di produzione e quindi crearne un'altra per le attività di testing o di gestione temporanea.
Nota
Dopo aver effettuato l'iscrizione al primo servizio, è consigliabile usare lo stesso account amministratore associato all'organizzazione se si effettua l'iscrizione ad altri servizi cloud Microsoft. Per altre informazioni sugli ID utente, vedere Che cos'è l'ID utente e perché è necessario?
La prima volta che si accede a un servizio cloud Microsoft, ad esempio Azure, Microsoft Office 365 o Microsoft Intune, viene richiesto di fornire informazioni dettagliate sulla registrazione del nome di dominio Internet dell'organizzazione e dell'organizzazione. Queste informazioni vengono quindi usate per creare una nuova istanza di directory di Azure AD per l'organizzazione. Questa stessa directory viene usata per autenticare i tentativi di accesso quando si sottoscrivono più servizi cloud Microsoft.
I servizi aggiuntivi sfruttano completamente gli account utente, i criteri, le impostazioni o l'integrazione della directory locale configurati per migliorare l'efficienza tra l'infrastruttura di identità dell'organizzazione locale e Azure AD.
Se, ad esempio, in origine è stata effettuata l'iscrizione a una sottoscrizione di Microsoft Intune e sono stati eseguiti i passaggi necessari per integrare ulteriormente l'ambiente Active Directory locale con la directory di Azure AD distribuendo la sincronizzazione della directory e/o server Single Sign-On, è possibile iscriversi a un altro servizio cloud Microsoft, ad esempio Office 365, che potrà usufruire degli stessi vantaggi dell'integrazione di directory già in uso con Microsoft Intune.
Per altre informazioni sull'integrazione della directory locale con Azure AD, vedere Integrazione di directory.
Associare una directory di Azure AD a una nuova sottoscrizione di Azure
È possibile associare una nuova sottoscrizione di Azure alla stessa directory che autentica l'accesso per una sottoscrizione esistente di Office 365 o Microsoft Intune. Accedere al portale di gestione di Azure usando l'account aziendale o dell'istituto di istruzione. Il portale di gestione di Azure restituisce un messaggio che indica l'impossibilità di trovare sottoscrizioni per tale account. Selezionare Iscrizione per Azure e la directory sarà disponibile per l'amministrazione all'interno del portale di gestione di Azure. Per altre informazioni, vedere Gestire la directory per la sottoscrizione di Office 365 in Azure.
.png "Associate Account 2")
Per un video sulle domande comuni sull'uso di Azure AD, vedere la pagina relativa alle domande comuni su iscrizione, accesso e uso di Azure Active Directory.
Creazione di una directory di Azure AD effettuando l'iscrizione a un servizio come organizzazione
Se non si dispone ancora di una sottoscrizione a un servizio cloud Microsoft, usare uno dei collegamenti seguenti per iscriversi. Con l'iscrizione al primo servizio verrà automaticamente creata una directory di Azure AD.
Azure - Iscriversi ora.
Office 365 : iscriversi ora.
- Microsoft Intune Iscriversi ora.
Gestire una directory predefinita di cui Azure ha eseguito il provisioning
Attualmente viene creata automaticamente una directory quando si esegue l'iscrizione ad Azure e la sottoscrizione viene associata a tale directory. Tuttavia, se l'iscrizione ad Azure è stata effettuata prima di ottobre 2013, non è stata creata automaticamente alcuna directory. In questo caso, Azure potrebbe aver "recuperato le informazioni" per l'account effettuando, per tale account, il provisioning di una directory predefinita. La sottoscrizione è stata quindi associata a tale directory predefinita.
Il recupero delle informazioni delle directory è stato eseguito nel mese di ottobre 2013 come parte di un miglioramento generale del modello di sicurezza di Azure. In questo modo, è possibile offrire funzionalità di identità dell'organizzazione a tutti i clienti Azure e garantire che l'accesso a tutte le risorse di Azure avvenga nel contesto di un utente nella directory. Non è possibile usare Azure senza una directory. A tale scopo, gli utenti che si sono iscritti prima del 7 luglio 2013, ma che non disponevano di una directory, hanno dovuto crearne una. Se la directory era già stata creata, la sottoscrizione è stata associata a tale directory.
L'uso di Azure AD non comporta costi aggiuntivi. La directory è una risorsa gratuita. Esiste un livello di Azure Active Directory Premium aggiuntivo concesso in licenza separatamente e offre funzionalità aggiuntive, ad esempio la personalizzazione aziendale e la reimpostazione della password self-service.
Per modificare il nome visualizzato della directory, fare clic sulla directory nel portale di gestione e scegliere Configura. Come illustrato più avanti in questo argomento, è possibile aggiungere una nuova directory o eliminarne una non più necessaria. Per associare la sottoscrizione a una directory diversa, fare clic su Impostazioni>Subscriptions>Modifica directory. È anche possibile creare un dominio personalizzato usando un nome DNS registrato anziché il dominio predefinito *.onmicrosoft.com, che è preferibile usare con un servizio come SharePoint Online.
Per altre informazioni su come gestire la directory, amministrare la directory di Azure AD.
Aggiunta e gestione di più directory di Azure AD
È possibile aggiungere una directory di Azure AD nel portale di gestione di Azure. Selezionare l'estensione Active Directory a sinistra e fare clic su Aggiungi.
È possibile gestire ogni directory come una risorsa completamente indipendente. Ciascuna directory è infatti un peer con funzionalità complete e indipendente dal punto di vista logico dalle altre directory gestite. Non vi è alcuna relazione padre-figlio tra le directory. Questa indipendenza tra le directory include l'indipendenza delle risorse, l'indipendenza amministrativa e l'indipendenza della sincronizzazione.
Indipendenza delle risorse. Se si crea o si elimina una risorsa in una directory, ciò non influisce sulle risorse contenute in un'altra directory, con l'eccezione parziale degli utenti esterni, come spiegato più avanti. Se si usa un dominio personalizzato "contoso.com" con una directory, non è possibile usarlo con altre directory.
Indipendenza amministrativa. Se un utente non amministratore della directory "Contoso" crea una directory di test denominata "Test":
Per impostazione predefinita, l'utente che crea una directory viene aggiunto come utente esterno nella nuova directory e gli viene assegnato il ruolo di amministratore globale in quella directory.
Gli amministratori della directory "Contoso" non hanno privilegi amministrativi diretti per la directory "Test" se tali privilegi non vengono loro concessi specificamente da un amministratore di "Test". Gli amministratori di "Contoso" possono controllare l'accesso alla directory "Test" grazie al controllo di cui dispongono sull'account utente che ha creato "Test".
Se inoltre si cambia, ovvero si aggiunge o si rimuove, un ruolo di amministratore per un utente in una directory, la modifica non incide sul ruolo di amministratore che l'utente può avere in un'altra directory.
Indipendenza della sincronizzazione. È possibile configurare ogni implementazione di Azure AD in modo indipendente per sincronizzare i dati da una singola istanza di uno degli elementi seguenti:
Strumento di sincronizzazione directory, per sincronizzare i dati con una singola foresta AD.
Connettore di Azure Active Directory per Forefront Identity Manager, per sincronizzare i dati con una o più foreste locali e/o origini dati non AD.
Si noti, inoltre, che a differenza di altre risorse di Azure, le proprie directory non sono risorse figlio di una sottoscrizione di Azure. Se pertanto si annulla o si lascia scadere la propria sottoscrizione Azure, sarà comunque possibile accedere ai dati della directory mediante Azure PowerShell, l'API Graph di Azure o altre interfacce come l'interfaccia di amministrazione di Office 365. È anche possibile associare un'altra sottoscrizione alla directory.
Eliminazione di una directory di Azure AD
Un amministratore globale può eliminare una directory di Azure AD dal portale di gestione di Azure. Quando una directory viene eliminata, vengono eliminate anche tutte le risorse in essa contenute. Prima di procedere all'eliminazione, è quindi opportuno verificare che la directory non sia più necessaria.
Nota
Se l'utente ha eseguito l'accesso con un account aziendale o dell'istituto di istruzione, non deve tentare di eliminare la propria home directory. Ad esempio, se l'utente ha eseguito l'accesso come joe@contoso.onmicrosoft.com, non può eliminare la directory che ha contoso.onmicrosoft.com come dominio predefinito.
Condizioni da soddisfare per eliminare una directory di Azure AD
Azure AD richiede che vengano soddisfatte determinate condizioni per eliminare una directory. In questo modo, si riduce il rischio che l'eliminazione di una directory possa incidere negativamente sugli utenti o sulle applicazioni, ad esempio sulla possibilità degli utenti di eseguire l'accesso a Office 365 o di accedere alle risorse in Azure. Se, ad esempio, una directory di una sottoscrizione venisse eliminata accidentalmente, gli utenti non potrebbero accedere alle risorse di Azure per tale sottoscrizione.
Viene verificato che siano soddisfatte le condizioni seguenti:
L'unico utente presente nella directory deve essere l'amministratore globale che eliminerà la directory. Tutti gli altri utenti devono essere eliminati prima che possa essere eliminata la directory. Se gli utenti vengono sincronizzati dall'ambiente locale, sarà necessario disattivare la sincronizzazione e gli utenti devono essere eliminati nella directory cloud mediante il portale di gestione o il modulo di Azure per Windows PowerShell. Non è necessario eliminare gruppi o contatti, ad esempio i contatti aggiunti dall'interfaccia di amministrazione di Office 365.
La directory non può contenere applicazioni. Tutte le applicazioni devono essere eliminate prima che possa essere eliminata la directory.
Alla directory non possono essere associate sottoscrizioni per i Microsoft Online Services, ad esempio Microsoft Azure, Office 365 o Azure AD Premium. Se, ad esempio, in Azure è stata creata una directory predefinita, non è possibile eliminare la directory se la propria sottoscrizione di Azure si basa ancora su di essa per l'autenticazione. Analogamente, non è possibile eliminare una directory se la sottoscrizione di un altro utente è associata a tale directory. Per associare la sottoscrizione a una directory diversa, accedere al portale di gestione di Azure e fare clic su Impostazioni nel riquadro di spostamento sinistro. Quindi fare clic su Sottoscrizioni e Modifica directory. Per altre informazioni sulle sottoscrizioni Azure, vedere Associazione delle sottoscrizioni di Azure ad Azure AD.
Nota
Se la sottoscrizione viene annullata e si vuole eliminare una directory, accedere usando una sottoscrizione diversa e aggiungere l'amministratore globale della directory come coamministratore della sottoscrizione. Quindi disconnettersi e riaccedere usando l'account coamministratore della sottoscrizione. Dovrebbe quindi essere possibile eliminare la directory se tutte le altre condizioni sono state soddisfatte.
Alla directory non possono essere collegati provider di Multi-Factor Authentication.