Account necessari per la configurazione e la verifica di una soluzione ibrida

  • Articolo

 

**Si applica a:**SharePoint Online, SharePoint Server 2013, SharePoint Server 2016

**Ultima modifica dell'argomento:**2017-06-20

Sintesi: informazioni sugli account da utilizzare quando si configura una soluzione ibrida di SharePoint Server.

Quando si configura un ambiente ibrido di SharePoint Server, sono necessari più account utente sia in Active Directory locale sia in Office 365. Questi account inoltre necessitano di autorizzazioni e appartenenze a gruppi o ruoli diverse. Alcuni di questi account vengono utilizzati per distribuire e configurare il software, altri invece vengono utilizzati per testare funzionalità specifiche per garantire il corretto funzionamento dei sistemi di sicurezza e autenticazione.

In un ambiente ibrido alcuni o tutti gli account utente in Active Directory vengono sincronizzati con i servizi directory Azure AD. Questi account vengono indicati come utenti federati. SharePoint Server e SharePoint Online sono configurati con una relazione di trust tra server (S2S) ed è possibile configurare applicazioni di servizio per consentire agli utenti federati di accedere al contenuto e alle risorse da entrambe le farm utilizzando una sola identità. Poiché gli account utente e le credenziali vengono sincronizzati tra SharePoint Server e SharePoint Online, è possibile applicare la sicurezza del contenuto di elenchi e raccolte in entrambe le farm utilizzando lo stesso insieme di utenti e gruppi.

Nota

In questa tabella non sono inclusi gli account di servizio, che potrebbero prevedere requisiti specifici per le applicazioni di servizio e le funzionalità in alcune soluzioni ibride di SharePoint Server. Per ulteriori informazioni sui requisiti per ogni soluzione supportata, vedere gli articoli relativi alla configurazione delle soluzioni in Configurare una soluzione ibrida per SharePoint Server.

Tabella: account necessari per la configurazione e la verifica di una soluzione ibrida di SharePoint

Account Provider di identità Ruolo

Amministratore globale

Office 365 e Azure Active Directory

Utilizzare un Office 365account aziendale che è stato assegnato al ruolo di amministratore globale per le attività di configurazione di Office 365, ad esempio, l'impostazione delle funzionalità di SharePoint Online, l'esecuzione di Azure AD e dei comandi SharePoint OnlinePowerShell, nonché il test di SharePoint Online.

Amministratore di dominio Active Directory

Active Directory locale

Utilizzare un account Active Directory nel gruppo Domain Admins per configurare e testare Active Directory, ADFS, DNS e i certificati e per eseguire altre attività che richiedono l'elevazione di privilegi.

Amministratori Farm di SharePoint

Active Directory locale

Utilizzare un account Active Directory nel gruppo Amministratori farm di SharePoint per le attività di configurazione di SharePoint Server, ad esempio l'esecuzione di comandi di PowerShell in SharePoint Management Shell per configurare relazioni di trust tra server (S2S), creare e configurare applicazioni Web e raccolte siti, distribuire e configurare database di SQL Server e risolvere i problemi relativi a SharePoint Server.

Questo account deve disporre anche di privilegi aggiuntivi per utilizzare SharePoint Management Shell:

  • Appartenenza al ruolo predefinito del server securityadmin nell'istanza di SQL Server.

  • Appartenenza al ruolo predefinito del database db_owner in tutti i database da aggiornare.

  • Appartenenza al gruppo Administrators nel server in cui vengono eseguiti i cmdlet di PowerShell.

Utenti federati

Active Directory locale

Utilizzare gli account Active Directory che sono stati sincronizzati con Office 365 per testare l'accesso a risorse specifiche in SharePoint Server e SharePoint Online.

Questi account o i gruppi di cui sono membri devono disporre delle autorizzazioni per le risorse e le raccolte siti di SharePoint Server in entrambi gli ambienti, nonché delle licenze di prodotto appropriate assegnate nella sottoscrizione di Office 365. Devono essere impostati inoltre per utilizzare il suffisso UPN di dominio alternativo specificato per gli utenti federati durante il processo di pianificazione.

È possibile configurare più account federati con autorizzazioni o appartenenze a gruppi diverse per testare l'accesso alle risorse dei siti e la limitazione per motivi di sicurezza appropriati.