Esporta (0) Stampa
Espandi tutto

Che cos'è un tenant di Windows Azure AD?

Pubblicato: luglio 2012

Aggiornamento: giugno 2014

Si applica a: Azure, Office 365, Windows Intune

noteNota
In questo argomento vengono fornite informazioni relative ai servizi cloud, quali Windows Intune e Office 365, che sono basati su Microsoft Azure Active Directory per i servizi di identità e directory.

Nell'ambiente di lavoro fisico il termine tenant (inquilino) può essere definito come un gruppo o una società che occupa un edificio. Un'organizzazione ad esempio può essere proprietaria di un ufficio in un edificio. L'edificio può trovarsi in una strada insieme a molte altre organizzazioni. L'organizzazione può quindi essere considerata come tenant (inquilina) dell'edificio. L'edificio è un bene dell'organizzazione che fornisce sicurezza e offre l'opportunità di lavorare in un ambiente protetto. È separato inoltre dalle altre organizzazioni che si trovano nella stessa strada. In questo modo l'organizzazione e i relativi beni sono isolati dalle altre organizzazioni.

Nell'area di lavoro abilitata per il cloud un tenant può essere definito come un client o un'organizzazione che possiede e gestisce un'istanza specifica di tale servizio cloud. Con la piattaforma di identità fornita da Azure, un tenant è semplicemente un'istanza dedicata di Azure Active Directory (Azure AD) che l'organizzazione riceve e di cui diventa proprietaria quando effettua l'iscrizione a un servizio cloud Microsoft, quale ad esempio Azure o Office 365.

Ogni directory di Azure AD è distinta e separata dalle altre. Così come un edificio con un ufficio aziendale è un bene sicuro specifico di una sola organizzazione, una directory di Azure AD viene progettata come risorsa sicura utilizzabile solo dall'organizzazione che ne è proprietaria. L'architettura di Azure AD isola le informazioni di identità e i dati dei clienti evitando che si combinino con altri. Questo significa che gli utenti e gli amministratori di una directory di Azure AD non possono accidentalmente o con dolo accedere ai dati presenti in un'altra directory.

Quando si effettua l'iscrizione a un servizio cloud Microsoft, si ottiene una directory di Azure AD. È tuttavia possibile creare altre directory, se necessario. Ad esempio, è possibile decidere di mantenere la prima directory come directory di produzione e quindi crearne un'altra per le attività di testing o di gestione temporanea.

noteNota
Dopo aver effettuato l'iscrizione al primo servizio, è consigliabile utilizzare lo stesso account amministratore associato all'organizzazione se ci si iscrive ad altri servizi cloud Microsoft. Per altre informazioni sugli ID utente, vedere Definizione e funzione dell'ID utente.

La prima volta che si effettua l'iscrizione a un servizio cloud Microsoft come Azure, Microsoft Office 365 o Windows Intune, viene chiesto di fornire i dettagli dell'organizzazione e della relativa registrazione del nome di dominio Internet. Queste informazioni vengono quindi utilizzate per creare una nuova istanza di directory di Azure AD per l'organizzazione. Questa stessa directory viene utilizzata per autenticare i tentativi di accesso quando ci si iscrive a più Servizi cloud Microsoft.

I servizi aggiuntivi utilizzano gli eventuali account utente, criteri o impostazioni esistenti o l'integrazione della directory locale configurata per aumentare l'efficienza tra l'infrastruttura di identità dell'organizzazione in locale e Strumento di sincronizzazione.

Se ad esempio in origine è stata effettuata un'iscrizione per una sottoscrizione Windows Intune e sono stati eseguiti i passaggi necessari per integrare ulteriormente Active Directory locale con la directory di Strumento di sincronizzazione distribuendo la sincronizzazione della directory e/o server Single Sign-On, è possibile effettuare l'iscrizione per un altro servizio cloud Microsoft, ad esempio Office 365, che potrà usufruire degli stessi vantaggi di integrazione di directory ottenuti con Windows Intune.

Per altre informazioni sull'integrazione della directory locale con Azure AD, vedere Panoramica sull'integrazione della directory.

È possibile associare una nuova sottoscrizione Azure alla stessa directory che autentica l'accesso per una sottoscrizione Office 365 o Windows Intune esistente. Eseguire l'accesso al portale di gestione di Azure utilizzando l'account dell'organizzazione. Il portale di gestione di Azure restituisce un messaggio che indica l'impossibilità di trovare sottoscrizioni per tale account. Selezionare Esegui iscrizione ad Azure e la directory sarà disponibile per l'amministrazione all'interno del portale di gestione di Azure. Per altre informazioni, vedere Gestire la directory per la sottoscrizione Office 365 in Azure.

Per un video sulle domande comuni sull'utilizzo di Azure AD, vedere la pagina relativa alle domande comuni sull'iscrizione, l'accesso e l'utilizzo di Azure Active Directory.

Se non si dispone ancora di una sottoscrizione a un servizio cloud Microsoft, utilizzare uno dei seguenti collegamenti per provvedere. L'iscrizione al primo servizio comporterà la creazione automatica di una directory di Azure AD.

È possibile aggiungere una directory di Azure AD nel portale di gestione di Azure. Selezionare l'estensione Active Directory a sinistra e fare clic su Aggiungi.

È possibile gestire ogni directory come una risorsa totalmente indipendente. Ciascuna directory è infatti un peer con funzionalità complete e logicamente indipendente dalle altre directory gestite, pertanto non vi è alcuna relazione padre-figlio tra le directory. Questa indipendenza tra le directory include l'indipendenza delle risorse, l'indipendenza amministrativa e l'indipendenza della sincronizzazione.

  • Indipendenza delle risorse. Se si crea o elimina una risorsa in una directory, non vi sono ripercussioni sulle risorse contenute in un'altra directory, con l'eccezione parziale degli utenti esterni, come spiegato più avanti. Se si utilizza un dominio personalizzato 'contoso.com' con una directory, non può essere utilizzato con altre directory.

  • Indipendenza amministrativa. Se un utente non amministratore della directory 'Contoso' crea una directory di test denominata 'Test', si verifica quanto segue:

    • Per impostazione predefinita, l'utente che crea una directory viene aggiunto come utente esterno nella nuova directory e gli viene assegnato il ruolo di amministratore globale in tale directory.

    • Gli amministratori della directory 'Contoso' non dispongono di privilegi amministrativi diretti per la directory 'Test' se tali privilegi non vengono loro concessi specificamente da un amministratore di 'Test'. Gli amministratori di 'Contoso' possono controllare l'accesso alla directory 'Test' grazie al controllo di cui dispongono sull'account utente che ha creato 'Test'.

    Se inoltre si cambia, ovvero si aggiunge o rimuove, un ruolo di amministratore per un utente in una directory, la modifica non incide sul ruolo di amministratore che l'utente può avere in un'altra directory.

  • Indipendenza della sincronizzazione. È possibile configurare ogni implementazione di Azure AD in modo indipendente per sincronizzare i dati da una singola istanza di uno dei seguenti elementi:

    • Strumento di sincronizzazione della directory, per sincronizzare i dati con una singola foresta AD.

    • Azure Active Directory Connector per Forefront Identity Manager, per sincronizzare i dati con una o più foreste locali e/o origini dati non AD.

Notare inoltre che, a differenza di altre risorse di Azure, le proprie directory non sono risorse figlio di una sottoscrizione Azure. Se pertanto si annulla o si lascia scadere la propria sottoscrizione Azure, sarà comunque possibile accedere ai dati della directory mediante Azure PowerShell, l'API Graph di Azure o altre interfacce come l'interfaccia di amministrazione di Office 365. È anche possibile associare un'altra sottoscrizione alla directory.

Un amministratore globale può eliminare una directory di Azure AD dal portale di gestione di Azure. Quando una directory viene eliminata, vengono eliminate anche tutte le risorse in essa contenute. Assicurarsi pertanto che la directory non sia più necessaria prima di procedere.

noteNota
Se l'utente è connesso con un account dell'organizzazione, non deve tentare di eliminare la propria home directory. Se ad esempio l'utente si è connesso con l'account dell'organizzazione joe@contoso.onmicrosoft.com, tale utente non potrà eliminare la directory che ha contoso.onmicrosoft.com come dominio predefinito.

Azure AD richiede che vengano soddisfatte determinate condizioni per eliminare una directory. In questo modo si riduce il rischio che l'eliminazione di una directory possa incidere negativamente sugli utenti o sulle applicazioni, ad esempio sulla possibilità degli utenti di eseguire l'accesso a Office 365 o di accedere alle risorse in Azure. Viene verificato che siano soddisfatte le seguenti condizioni:

  • L'unico utente presente nella directory deve essere l'amministratore globale che eliminerà la directory. Tutti gli altri utenti devono essere eliminati prima che possa essere eliminata la directory. Se gli utenti vengono sincronizzati dall'ambiente locale, sarà necessario disattivare la sincronizzazione e gli utenti devono essere eliminati nella directory del cloud mediante il portale di gestione o il modulo Azure per Windows PowerShell. Non sono previsti requisiti per l'eliminazione di gruppi o contatti, ad esempio i contatti aggiunti dall'interfaccia di amministrazione di Office 365.

  • La directory non può contenere applicazioni. Queste infatti devono essere eliminate prima che possa essere eliminata la directory. Nota: non è possibile eliminare una directory se è stata aggiunta un'applicazione dalla Raccolta di applicazioni di Azure AD, anche se tale applicazione viene successivamente eliminata. Microsoft sta lavorando per rimuovere tale limitazione.

  • Alla directory non possono essere associate sottoscrizioni per i Microsoft Online Services, ad esempio Azure, Office 365 o Azure AD Premium. Ad esempio, se in Azure si dispone di una directory predefinita creata automaticamente, non è possibile eliminare la directory se la propria sottoscrizione Azure si basa ancora su di essa per l'autenticazione.

  • Alla directory non possono essere collegati provider di Multi-Factor Authentication.

Il documento è risultato utile?
(1500 caratteri rimanenti)
Grazie per i commenti inviati.
Microsoft sta conducendo un sondaggio in linea per comprendere l'opinione degli utenti in merito al sito Web di MSDN. Se si sceglie di partecipare, quando si lascia il sito Web di MSDN verrà visualizzato il sondaggio in linea.

Si desidera partecipare?
Mostra:
© 2014 Microsoft