Puoi utilizzare la funzione di Integrazione Active Directory (ADI) di KnowBe4 per integrare Active Directory (AD) della tua organizzazione nella console KSAT. Dopo aver configurato ADI, gli utenti e i gruppi verranno aggiunti, modificati e archiviati automaticamente nella console KSAT in base alle informazioni inviate da AD. È importante notare che si tratta di un processo di sincronizzazione unidirezionale e che nessuna informazione verrà inviata ad AD dalla console KSAT. 

Per conoscere i vantaggi della configurazione l’integrazione Active Directory (ADI) per la tua organizzazione, leggi l’articolo Vantaggi dell’impostazione di Active Directory (ADI). Se preferisci guardare i video tutorial su come configurare ADI, guarda il video Integrazione Active Directory (ADI). In alternativa, se ti interessa utilizzare il sistema SCIM per sincronizzare gli utenti, consulta la Guida alla configurazione SCIM.

Come funziona ADI per gli account con utenti esistenti

Se hai già aggiunto utenti alla tua console KSAT, ci sono alcune cose che devi sapere prima di configurare ADI. Per ulteriori informazioni, consulta l’elenco seguente:

• Una volta configurato ADI, i dati sincronizzati da AD sono considerati autorevoli. Durante le sincronizzazioni tra la console KSAT e AD si verificheranno le seguenti azioni:
  • Gli utenti che non vengono trovati in AD verranno archiviati nella console KSAT.
  • Se hai apportato delle modifiche alle informazioni di un utente nella console KSAT, tali modifiche saranno sovrascritte dai dati contenuti in AD.
• Prima di ADI, gli account utente presenti nella console KSAT sono considerati come gestiti da console. Quando gli utenti sono gestiti da console, puoi modificare le informazioni degli utenti caricando un file CSV sulla console o modificando i profili utente direttamente nella console. 
  • Una volta configurata ADI e verificata la prima sincronizzazione con AD, gli utenti sono considerati come gestiti da AD. Quando gli utenti sono gestiti da AD, dovrai modificare le informazioni degli utenti in AD; tali modifiche verranno trasferite alla console KSAT durante la successiva sincronizzazione.
• Durante la prima sincronizzazione AD, la console KSAT abbinerà automaticamente gli account degli utenti gestiti da console con quelli presenti in AD. Questo processo convertirà gli utenti da gestiti da console a gestiti da AD. Di seguito spieghiamo come funziona questo processo:
  1. Devi installare e configurare lo strumento di sincronizzazione ADI nel tuo ambiente. Per maggiori dettagli, consulta la sezione Installazione e configurazione di questo articolo.
  2. Devi configurare le informazioni che vuoi sincronizzare da AD. Per maggiori dettagli, consulta la sezione Definire quali UO, gruppi e utenti sincronizzare di questo articolo.
  3. Quindi, il servizio di sincronizzazione di ADI interroga la tua AD o le tue directory per ottenere informazioni su utenti e gruppi, quindi invia i risultati ai server di KnowBe4.
  4. I server di KnowBe4 esaminano le informazioni inviate da AD e aggiornano automaticamente gli utenti e i gruppi nella console KSAT secondo la seguente logica:

     Se un utente AD ha un indirizzo e‑mail che corrisponde a un account della console KSAT esistente, l’account della console KSAT diventa gestito da AD.

     Se un utente AD non viene trovato nella console KSAT, viene creato un account utente gestito da AD.

     Dopo che tutti gli utenti AD sono stati elaborati, gli account della console che non sono passati alla gestione mediante AD vengono archiviati.

Una volta configurata ADI, le informazioni sugli utenti vengono aggiornate con quelle presenti nella AD della tua organizzazione.

Prerequisiti

Prima di configurare ADI, assicurati che il tuo ambiente soddisfi i requisiti di base elencati di seguito:

1. La tua organizzazione deve avere Microsoft Active Directory o Microsoft Entra ID. Per ulteriori informazioni, consulta l’elenco sottostante:
   1. Se la tua organizzazione ha Microsoft Active Directory, il livello funzionale del dominio deve essere Windows Server 2016 o successivo.
   2. Se la tua organizzazione ha Microsoft Entra ID, puoi sincronizzare Microsoft Entra ID Domain Services con la tua console KSAT. Per saperne di più, leggi l’articolo Come usare l’integrazione Active Directory (ADI) con Microsoft Entra Domain Services.
2. Ti consigliamo di installare lo strumento ADI su un server applicazioni e non su una workstation dell’utente. Assicurati che il sistema in cui installerai ADI soddisfi le seguenti caratteristiche:
   1. Il sistema utilizza Windows Desktop 10 o 11 o Windows Server 2016/2019 o 2022 (64 bit).
   2. Assicurati che il sistema possa raggiungere il server dell’istanza di formazione del tuo account. Per un elenco delle istanze, leggi l’articolo Istanze di formazione di KnowBe4. L’istanza di formazione è l’URL del server che lo strumento di sincronizzazione AD di KnowBe4 dovrà contattare tramite una richiesta POST. Dovrai consentire le connessioni in uscita ai server remoti sulla porta 443 (SSL/HTTPS).
   3. Il computer ha almeno due GB di RAM.
   4. L’unità di sistema del computer ha almeno un GB di spazio disponibile su disco rigido (HDD).
   5. Il Controllo dell'account utente è abilitato nelle impostazioni del Controllo dell’account utente del computer.

Nella prossima sezione troverai i passaggi importanti da seguire per preparare la tua configurazione ADI.

Prima di iniziare: passaggi necessari

Prima di poter installare e configurare lo strumento di sincronizzazione AD di KnowBe4 sul tuo sistema locale, effettua le seguenti operazioni:

1. Raccogli le seguenti informazioni sulla tua AD:
   Importante:se gli utenti sono gestiti da più controller di dominio, dovrai raccogliere le seguenti informazioni per ogni controller di dominio. Dovrai inoltre configurare ADI per ognuno di questi domini. Per saperne di più, consulta la sezione Supporto per domini con origini multiple della Guida alla configurazione avanzata di Integrazione Active Directory (ADI).
   • Trova l’indirizzo IP o il nome di dominio completo (FQDN) del controller di dominio in cui si trova AD.
   • Assicurati che il controller di dominio di AD possa rispondere alle richieste LDAP. Per impostazione predefinita, tutti i controller di dominio sono impostati per rispondere alle richieste LDAP.
     Suggerimento:la sincronizzazione di AD può comunicare tramite LDAP. Tuttavia, se preferisci, puoi abilitare LDAPS sul controller di dominio prima di sincronizzare AD. Per impostazione predefinita, LDAPS non è abilitato sulla maggior parte dei controller di dominio. Per saperne di più, consulta le Domande frequenti su ADI.
   • Trova il nome di dominio di AD. Il nome di dominio di AD è il dominio radice controllato dal controller di dominio di AD. Per un esempio di nome di dominio AD, vedere l’immagine riportata di seguito.
   • Assicurati di avere il nome utente e la password di un account amministratore di AD che disponga delle autorizzazioni per eseguire query LDAP. Per impostazione predefinita, qualsiasi account del gruppo “Utenti del dominio” ha queste autorizzazioni. Tuttavia, per maggiore sicurezza ti consigliamo di utilizzare un account di servizio che abbia solo autorizzazioni di “lettura” per la tua AD. Per vedere le autorizzazioni di “lettura” necessarie per questo account di servizio, consulta la Guida alla configurazione avanzata di Integrazione Active Directory (ADI).
2. Ottieni il tuo Token di sincronizzazione ADI e scarica lo strumento di sincronizzazione ADI dalle Impostazioni account di KSAT. Effettua le seguenti operazioni:
   1. Una volta effettuato l’accesso alla console KSAT, fai clic sul tuo indirizzo e‑mail nell’angolo in alto a destra della pagina. Quindi fai clic su Impostazioni account.
   2. Vai alla sezione Provisioning degli utenti. Quindi seleziona la casella di controllo Abilita il Provisioning degli utenti (sincronizzazione degli utenti).
   3. Assicurati che l’impostazione Modalità test sia abilitata. La Modalità test deve essere disattivata solo dopo aver completato la configurazione di ADI e verificato che ADI funzioni correttamente. Quando è abilitata la Modalità test, il provisioning degli utenti o la sincronizzazione non avvengono. Viene invece generato un rapporto che mostra cosa sarebbe successo se il provisioning degli utenti fosse avvenuto. La modalità test ti permette di risolvere eventuali problemi senza influenzare gli utenti attuali presenti nella console. 
      Suggerimento: selezionare la casella di controllo Mostra dominio del gruppo può risultare utile se i tuoi utenti sono suddivisi tra più origini di dominio. Per saperne di più, consulta le Domande frequenti su ADI.
      
   4. Copia il tuo Token di sincronizzazione ADI e salvalo in locale. Questo token ti servirà per completare la configurazione. Il Token di sincronizzazione ADI ha una lunghezza di 34 cifre ed è simile al seguente esempio: US9X140X4829E37XX545401X97912X604X.
   5. Fai clic sull’icona download accanto a Strumento ADI (ADISyncSetup.exe) per scaricare il file per lo strumento ADI. 
   6. Fai clic sul pulsante Salva modifiche in fondo alla pagina Impostazioni account.
   7. Decidi quali utenti vuoi sincronizzare e familiarizza con la località in cui si trovano questi oggetti utente in AD. 
3. Dopo aver completato i passaggi di questa sezione e quelli della sezione Installazione e configurazione che segue, dovrai definire la posizione degli oggetti utente in AD. Puoi sincronizzare gli oggetti utente da uno o più dei seguenti elementi: unità dell’organizzazione (UO), gruppi di sicurezza e gruppi di distribuzione. Per ulteriori dettagli sulla definizione degli utenti da sincronizzare, consulta la sezione Definire quali UO, gruppi e utenti sincronizzare di questo articolo.

   Se i tuoi oggetti utente non sono situati in UO, gruppi di sicurezza o gruppi di distribuzione, consulta le informazioni seguenti:

   • Se gli utenti che desideri sincronizzare si trovano nel contenitore utenti integrato invece che in una UO: Non è possibile sincronizzare i contenitori. Come soluzione, puoi creare un gruppo di sicurezza, aggiungere i rispettivi utenti a un gruppo di sicurezza e sincronizzare il gruppo invece del contenitore. 
   • Se ti accorgi che AD non è organizzata in modo ideale per la sincronizzazione con la console KSAT o se hai dei dubbi al riguardo: Puoi configurare uno o più gruppi in AD per contenere tutti gli oggetti e i gruppi dell‘utente che desideri sincronizzare. Successivamente specificherai che vuoi sincronizzare solo quei gruppi.
   • Se hai un dominio radice con AD figlie, puoi eseguire il programma di installazione ADI per ogni dominio figlio. Ogni dominio figlio deve utilizzare lo stesso controller di dominio del dominio radice.
4. Determina da quale campo devono essere estratti gli indirizzi e‑mail degli utenti in AD. Per impostazione predefinita, il servizio ADI estrarrà gli indirizzi proxy degli utenti da utilizzare come indirizzi e‑mail del loro account KnowBe4. 
   • Se devi utilizzare qualcosa di diverso dagli indirizzi proxy, dovrai modificare il campo emailAttrib nel tuo file adisync.conf. Ad esempio, se non stai utilizzando Microsoft Exchange o Microsoft 365 come server di posta, il campo dell’indirizzo proxy in AD è probabilmente vuoto. Modifica il campo emailAttrib dopo aver effettuato l’installazione, ma prima di avviare il servizio di sincronizzazione di ADI. Per istruzioni, consulta la sezione Modificare la posizione di origine degli indirizzi e‑mail da inserire in Active Directory della Guida alla configurazione avanzata di Integrazione Active Directory (ADI).
     Nota: il campo useMailAttrib è stato sostituito dal campo emailAttribute.
   • Assicurati che tutte le campagne abbiano le impostazioni adeguate all’aggiunta di utenti. Ricontrolla le impostazioni dei gruppi smart delle campagne, perché possono essere influenzate dall’inserimento di nuovi utenti tramite la sincronizzazione ADI.

Una volta raccolte le informazioni descritte sopra, continua con i passaggi della prossima sezione.

Installazione e configurazione

Dopo aver raccolto le informazioni descritte nella sezione precedente, è possibile installare e configurare la sincronizzazione ADI. Continua con i passaggi seguenti:

1. Esegui lo strumento di sincronizzazione di Active Directory. Si tratta del file ADISyncSetup.exe che hai scaricato dalle Impostazioni account di KSAT nel passaggio 2 della sezione Prima di iniziare: passaggi necessari descritta qui sopra. Lo strumento di sincronizzazione AD non deve essere installato su un controller di dominio. Può essere installato ovunque nell’ambiente, purché il sistema possa comunicare con un controller di dominio che accetti connessioni LDAP.
   Suggerimento:la sincronizzazione di AD può comunicare tramite LDAP. Tuttavia, se preferisci, puoi abilitare LDAPS sul controller di dominio prima di sincronizzare Active Directory. Per impostazione predefinita, LDAPS non è abilitato sulla maggior parte dei controller di dominio. Per maggiori informazioni, leggi il nostro articolo Domande frequenti: integrazione Active Directory (ADI).

   Si aprirà automaticamente un prompt dei comandi nella directory di installazione. Questo è il percorso predefinito della directory di installazione sulle piattaforme a 64 bit: C:\Program Files\KnowBe4\ADI Sync

2. Nella finestra del prompt dei comandi, ti verrà richiesto di inserire le informazioni indicate di seguito:
   1. Inserisci il tuo token di sincronizzazione ADI di 34 cifre: se è la prima volta che esegui questo comando, ti verrà richiesto di inserire il tuo Token di integrazione Active Directory. Questo token è la stringa di caratteri che hai copiato dalle Impostazioni account di KSAT. Per ulteriori informazioni, consulta il passaggio 2 della sezione Prima di iniziare: passaggi necessari descritta qui sopra.
   2. Inserisci il nome di dominio Active Directory: il nome del dominio si riferisce al dominio radice della tua AD. Per un esempio, consulta la sezione Prima di iniziare: passaggi necessari descritta qui sopra. 
   3. Inserisci il nome host o l’indirizzo IP del controllo di dominio Active Directory: il nome host o l’indirizzo IP di AD si riferisce all’indirizzo IP o al nome di dominio completo (FQDN) del controller di dominio in cui si trova AD.
   4. Abilita SSL (vero/falso): per impostazione predefinita, LDAPS non è abilitato sul controller di dominio e dovrai digitare “false” o premere il tasto Invio sulla tastiera per selezionare automaticamente false. In alternativa, se hai abilitato LDAPS ai fini di questa sincronizzazione, digita “true”.
   5. Abilita i campi SecurityCoach (vero/falso): se hai acquistato SecurityCoach, digita “true” per abilitare i campi SecurityCoach. Questi campi permettono di sincronizzare le informazioni per il mapping utenti. Per ulteriori informazioni, consulta la sezione Campi di Security Coach dell’articolo Come modificare il file CONF per l’Integrazione Active Directory (ADI). Per impostazione predefinita, questi campi sono disabilitati. Per mantenere questi campi disabilitati, premi Invio sulla tastiera.
   6. Inserisci il numero di porta Active Directory [389]: inserisci la porta LDAP o LDAPS appropriata. Per impostazione predefinita, la porta LDAP è la 389 e la porta LDAPS è la 636.
   7. Inserisci il nome utente (utente@dominio): inserisci il nome utente dell’account dell’amministratore di AD che ha le autorizzazioni di lettura necessarie per eseguire le query LDAP. Questo nome utente deve essere nel formato “utente@dominio”.
   8. Inserisci la password: inserisci la password dell’account dell’amministratore di AD che ha le autorizzazioni di lettura necessarie per eseguire le query LDAP.
3. Se la connessione viene creata correttamente, sarà visualizzato un messaggio di conferma che indica che l’ADI è stato collegato e configurato per il tuo dominio, come mostrato nell’esempio seguente. 
4. Premi il tasto Invio sulla tastiera per uscire dalla finestra del prompt dei comandi.

   Se si sono verificati problemi nel raggiungere o nell’autenticare il controller di dominio, vedrai dei messaggi di errore nella finestra del prompt dei comandi e dovrai ripetere i passaggi di questa sezione con i dati di configurazione corretti. Se continui a riscontrare errori, contatta il nostro team di assistenza. 

   Una volta che la connessione è andata a buon fine, consulta la sezione successiva per specificare gli utenti e le informazioni che vuoi sincronizzare con la console KSAT.

Definire quali UO, gruppi e utenti sincronizzare

Dopo aver completato i passaggi delle due sezioni precedenti, dovrai modificare il file <il tuo dominio>.conf per configurare le informazioni che vuoi sincronizzare con il tuo account KSAT. Questa configurazione è necessaria per sincronizzare gli utenti da AD.

Continua la configurazione di ADI con i passaggi seguenti:

1. Verifica di avere le autorizzazioni per la modifica nella cartella C:\ProgramData\KnowBe4\ADI Sync\Config. 
2. Trova il file <il tuo dominio>.conf nella directory di installazione, come mostrato di seguito. Apri il file con un editor di testo, ad esempio il Blocco note.

   Il file <il tuo dominio>.conf serve a definire gli utenti, le informazioni sugli utenti e i gruppi che vuoi sincronizzare tra il tuo account KSAT e AD. Per vedere un esempio di questo file, apri questo file di dominio_di_esempio.

   Nota: assicurati di modificare il file <il tuo dominio>.conf e non il file ADISync.conf.
3. Modifica il file <il tuo dominio>.conf per specificare i criteri di sincronizzazione degli utenti e dei gruppi. Ci sono tre sezioni del file il tuo dominio>.conf che puoi modificare:
   • [sync.fields] (facoltativo): modifica questa sezione per specificare i campi delle informazioni dell’utente che vuoi sincronizzare da AD. Per saperne di più, consulta la sezione Sincronizzare altre informazioni sugli utenti in KnowBe4 dell’articolo Come sincronizzare le informazioni attraverso Active Directory.
   • [sync.users] (obbligatorio): modifica quest’area per specificare gli utenti che vuoi sincronizzare da AD. Assicurati di includere almeno una UO, un gruppo o un utente nella sezione [sync.users] del file .conf. Per saperne di più, consulta la sezione Sincronizzare gli utenti tramite inclusione/esclusione di UO, gruppi o utenti specifici (obbligatorio) dell’articolo Come sincronizzare le informazioni attraverso Active Directory.
   • [sync.groups] (facoltativo): in quest’area puoi specificare i gruppi che desideri sincronizzare da AD. Questi gruppi verranno creati automaticamente nella console KnowBe4 e gli utenti applicabili verranno aggiunti ai gruppi. Per saperne di più, consulta la sezione Sincronizzare i gruppi tramite inclusione/esclusione di UO o gruppi (facoltativo) dell’articolo Come sincronizzare le informazioni attraverso Active Directory.
   Nota:se i nomi delle unità organizzative o dei gruppi contengono lettere che non fanno parte dell’alfabeto inglese standard, sostituisci le virgolette (“) con apici singoli (‘) nel file <il tuo dominio>.conf. Inoltre, dovrai anteporre una doppia barra rovesciata ai caratteri speciali come virgole, hashtag e segni più. Per maggiori dettagli, leggi l’articolo Come usare i caratteri di escape con l’Integrazione Active Directory.
4. Una volta terminato, salva le modifiche apportate al file <il tuo dominio>.conf.

Per avviare la sincronizzazione ADI, consulta la sezione successiva.

Avviare la sincronizzazione ADI

Se hai completato tutti i passaggi precedenti, il tuo servizio sincronizzazione ADI KnowBe4 è ora configurato e puoi avviare la sincronizzazione ADI. Continua con i passaggi seguenti:

Puoi avviare la sincronizzazione utilizzando la Gestione controllo servizi di Windows per avviare il servizio di sincronizzazione KnowBe4 ADI.

Il servizio di sincronizzazione KnowBe4 ADI sarà eseguito immediatamente. Mentre i servizi sono connessi, le sincronizzazioni tra AD e la console KSAT avverranno una volta ogni sei ore.

Quando è abilitata la Modalità test nelle Impostazioni account, vedrai un’anteprima della sincronizzazione tra AD e KnowBe4. Per visualizzare l’anteprima della Modalità test, vai su Utenti > Provisioning nella console di KSAT.

Tieni abilitata la Modalità test finché hai la certezza di aver configurato ADI in modo da soddisfare le esigenze della tua organizzazione. Quando la configurazione di ADI corrisponde alle tue aspettative, vai su Impostazioni account in KSAT e disattiva la Modalità test. La sincronizzazione ADI successiva effettuerà il provisioning degli utenti automaticamente.