Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Guida introduttiva a AWS Managed Microsoft AD
<a name="ms_ad_getting_started"></a>

AWS Managed Microsoft AD crea un ambiente completamente gestito, Microsoft Active Directory integrato Cloud AWS e basato su Windows Server 2019 e opera ai livelli funzionali Forest e Domain del 2016. Quando crei una directory con AWS Managed Microsoft AD, Directory Service crea due controller di dominio e aggiunge il servizio DNS per tuo conto. I controller di dominio vengono creati in diverse sottoreti in un Amazon VPC. Questa ridondanza aiuta a garantire che la directory rimanga accessibile anche in caso di errore. Se hai bisogno di più controller dei domini, puoi aggiungerli più tardi. Per ulteriori informazioni, consulta [Implementazione di controller di dominio aggiuntivi per Managed AWS Microsoft AD](ms_ad_deploy_additional_dcs.md).

Per una demo e una panoramica di AWS Managed Microsoft AD, guarda il YouTube video seguente.

[![AWS Videos](http://img.youtube.com/vi/MdkhobcciX8?si=o0HpdeTIDwK3YWla/0.jpg)](http://www.youtube.com/watch?v=MdkhobcciX8?si=o0HpdeTIDwK3YWla)


**Topics**
+ [Prerequisiti per la creazione di un AWS Managed Microsoft AD](#ms_ad_getting_started_prereqs)
+ [AWS IAM Identity Center prerequisiti](#prereq_aws_sso_ms_ad)
+ [Prerequisiti dell'autenticazione a più fattori](#prereq_mfa_ad)
+ [Creazione del tuo AWS Managed Microsoft AD](#ms_ad_getting_started_create_directory)
+ [Cosa viene creato con AWS Managed Microsoft AD](ms_ad_getting_started_what_gets_created.md)
+ [AWS Account Microsoft AD Administrator gestito e autorizzazioni di gruppo](ms_ad_getting_started_admin_account.md)

## Prerequisiti per la creazione di un AWS Managed Microsoft AD
<a name="ms_ad_getting_started_prereqs"></a>

Per creare un Microsoft AD Active Directory AWS gestito, è necessario un Amazon VPC con quanto segue: 
+ Almeno due sottoreti. Ciascuna sottorete deve trovarsi in una zona di disponibilità diversa e deve appartenere allo stesso tipo di rete.

  Puoi usarlo IPv6 per il tuo VPC. Per ulteriori informazioni, consulta il [IPv6 supporto per il tuo VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-migrate-ipv6.html) nella Guida per l'*utente di Amazon Virtual Private Cloud*.
+ Il VPC deve disporre di una tenancy hardware predefinita.
+ Non è possibile creare un AWS Managed Microsoft AD in un VPC utilizzando gli indirizzi nello spazio degli indirizzi 198.18.0.0/15.

Se è necessario integrare il dominio Microsoft AD AWS gestito con un dominio Active Directory locale esistente, è necessario che i livelli di funzionalità Forest e Domain per il dominio locale siano impostati su Windows Server 2003 o versioni successive.

Directory Service utilizza una struttura a due VPC. Le istanze EC2 che compongono la tua directory vengono eseguite all'esterno del tuo AWS account e sono gestite da. AWS Hanno due schede di rete, `ETH0` e `ETH1`. `ETH0` è la scheda di gestione ed è al di fuori del tuo account. `ETH1` viene creata all'interno dell'account. 

L'intervallo IP di gestione della ETH0 rete della directory è 198.18.0.0/15.

Per un tutorial su come creare l' AWS ambiente e AWS Managed Microsoft AD, vedi[AWS Tutorial gestiti per laboratori di test Microsoft AD](ms_ad_tutorial_test_lab.md).

## AWS IAM Identity Center prerequisiti
<a name="prereq_aws_sso_ms_ad"></a>

Se prevedi di utilizzare IAM Identity Center con AWS Managed Microsoft AD, devi assicurarti che quanto segue sia vero:
+ La directory AWS Managed Microsoft AD è configurata nell'account di gestione dell' AWS organizzazione.
+ L'istanza di IAM Identity Center si trova nella stessa regione in cui è configurata la directory AWS Managed Microsoft AD. 

Per ulteriori informazioni, consulta i [prerequisiti di IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/prereqs.html) nella *Guida per l'AWS IAM Identity Center utente*.

## Prerequisiti dell'autenticazione a più fattori
<a name="prereq_mfa_ad"></a>

Per supportare l'autenticazione a più fattori con la directory AWS Managed Microsoft AD, è necessario configurare il server RADIUS ([Remote Authentication Dial-In User Service](https://en.wikipedia.org/wiki/RADIUS)) locale o basato sul cloud nel modo seguente in modo che possa accettare le richieste dalla directory Managed AWS Microsoft AD in. AWS

1. Sul tuo server RADIUS, crea due client RADIUS per rappresentare entrambi i controller di dominio Microsoft AD AWS gestiti (DCs) in AWS. È necessario configurare entrambi i client utilizzando i seguenti parametri comuni (il tuo server RADIUS può variare):
   + **Indirizzo (DNS o IP)**: è l'indirizzo DNS di uno dei Managed AWS Microsoft AD. DCs Entrambi gli indirizzi DNS sono disponibili nella AWS Directory Service Console nella pagina **Dettagli** della directory Microsoft AD AWS gestita in cui si prevede di utilizzare l'autenticazione MFA. Gli indirizzi DNS visualizzati rappresentano gli indirizzi IP di entrambi i AWS Managed Microsoft AD DCs utilizzati da AWS.
**Nota**  
Se il tuo server RADIUS supporta gli indirizzi DNS, è necessario creare solo una configurazione del client RADIUS. Altrimenti, è necessario creare una configurazione client RADIUS per ogni AWS Managed Microsoft AD DC.
   + **Numero di porta**: configura il numero di porta per la quale il server RADIUS accetta le connessioni ai client RADIUS. La porta RADIUS standard è 1812.
   + **Segreto condiviso**: digita o genera un segreto condiviso che il server RADIUS utilizzerà per connettersi ai client RADIUS.
   + **Protocollo**: potrebbe essere necessario configurare il protocollo di autenticazione tra il server AWS Managed Microsoft AD DCs e il server RADIUS. I protocolli supportati sono PAP, CHAP MS- CHAPv1 e MS-. CHAPv2 MS- CHAPv2 è consigliato perché offre il livello di sicurezza più elevato tra le tre opzioni.
   + **Nome dell'applicazione**: questa operazione potrebbe essere facoltativa in alcuni server RADIUS e in genere identifica l'applicazione nei messaggi o nei report.

1. Configurate la rete esistente per consentire il traffico in entrata dai client RADIUS (indirizzi DCs DNS Microsoft AD AWS gestiti, vedere il passaggio 1) alla porta del server RADIUS.

1. Aggiungi una regola al gruppo di sicurezza Amazon EC2 nel tuo dominio AWS Microsoft AD gestito che consenta il traffico in entrata dall'indirizzo DNS e dal numero di porta del server RADIUS definiti in precedenza. Per ulteriori informazioni, consulta [Aggiunta di regole a un gruppo di sicurezza](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html#adding-security-group-rule) nella *Guida per l'utente di EC2*.

Per ulteriori informazioni sull'utilizzo di AWS Managed Microsoft AD con MFA, vedere. [Abilitazione dell'autenticazione a più fattori per AWS Managed Microsoft AD](ms_ad_mfa.md) 

## Creazione del tuo AWS Managed Microsoft AD
<a name="ms_ad_getting_started_create_directory"></a>

Per creare un nuovo AWS Managed Microsoft AD Active Directory, effettuare le seguenti operazioni. Prima di iniziare la procedura, assicurati di soddisfare i prerequisiti illustrati in [Prerequisiti per la creazione di un AWS Managed Microsoft AD](#ms_ad_getting_started_prereqs). 

**Per creare un AWS Managed Microsoft AD**

1. Nel riquadro di navigazione della [Console AWS Directory Service](https://console.aws.amazon.com/directoryservicev2/), scegli **Directory**, quindi seleziona **Configura directory**.

1. Nella pagina **Seleziona il tipo di directory**, scegli **Microsoft AD gestito da AWS **, quindi seleziona **Successivo**.

1. Nella pagina **Enter directory information (Inserisci le informazioni sulla directory)** inserisci le seguenti informazioni:  
**Edizione**  
Scegli tra la **Standard Edition** o l'**Enterprise Edition** di AWS Managed Microsoft AD. Per ulteriori informazioni sulle edizioni, consulta [Servizio di directory AWS per Microsoft Active Directory](what_is.md#microsoftad).   
**Nome DNS directory**  
Il nome completo della directory, ad esempio `corp.example.com`.  
Se prevedi di utilizzare Amazon Route 53 for DNS, il nome di dominio del tuo AWS Managed Microsoft AD deve essere diverso dal nome di dominio Route 53. Possono verificarsi problemi di risoluzione DNS se Route 53 e AWS Managed Microsoft AD condividono lo stesso nome di dominio.  
**Nome NetBIOS della directory**  
Nome breve per la directory, ad esempio `CORP`.  
**Descrizione della directory**  
Descrizione opzionale della directory. Questa descrizione può essere modificata dopo aver creato AWS Managed Microsoft AD.  
**Password amministratore**  
La password dell'amministratore della directory. Con il processo di creazione della directory viene generato un account amministratore con nome utente `Admin` e questa password. Puoi modificare la password dell'amministratore dopo aver creato il tuo AWS Managed Microsoft AD.  
Nella password non può essere inclusa la parola "admin".   
La password dell'amministratore della directory applica la distinzione tra maiuscole e minuscole e deve contenere tra 8 e 64 caratteri. Deve anche contenere un carattere di almeno tre delle seguenti quattro categorie:  
   + Lettere minuscole (a-z)
   + Lettere maiuscole (A-Z)
   + Numeri (0-9)
   + Caratteri non alfanumerici (\~\!@\#$%^&\*\_-\+=`\|\\(){}[]:;"'<>,.?/)  
**Conferma la password**  
Digitare di nuovo la password dell'amministratore.  
**(Facoltativo) Gestione di utenti e gruppi**  
Per abilitare AWS la gestione di utenti e gruppi di Microsoft AD gestita da Console di gestione AWS, selezionare **Gestisci la gestione di utenti e gruppi in Console di gestione AWS**. Per ulteriori informazioni su come utilizzare la gestione di utenti e gruppi, vedere[AWS Gestisci utenti e gruppi di Microsoft AD gestiti con Console di gestione AWS AWS CLI, o AWS Strumenti per PowerShell](ms_ad_manage_users_groups_procedures.md).

1. Nella pagina **Choose VPC and subnets (Scegli VPC e sottoreti)** fornire le seguenti informazioni, quindi selezionare **Next (Successivo)**.  
**VPC**  
Selezionare il VPC per la directory.  
**Tipo di rete**  
Il sistema di indirizzamento IP (Internet Protocol) associato al VPC e alle sottoreti.  
Seleziona il blocco CIDR associato al tuo VPC esistente. Le risorse nella sottorete possono essere configurate per utilizzare IPv4 solo, IPv6 solo o entrambi IPv4 e IPv6 (dual-stack). Per ulteriori informazioni, [consulta la sezione Confronta IPv4 e IPv6](https://docs.aws.amazon.com/vpc/latest/userguide/ipv4-ipv6-comparison.html) nella *Amazon Virtual Private Cloud User Guide*.  
**Sottoreti**  
Seleziona le sottoreti per i controller di dominio. Le due sottoreti devono trovarsi in diverse zone di disponibilità. 

1. Nella pagina **Review & create (Rivedi e crea)**, esaminare le informazioni relative alla directory ed eseguire eventuali modifiche. Quando le informazioni sono corrette, scegli **Create Directory (Crea directory)**. La creazione di una directory richiede dai 20 ai 40 minuti. Una volta creato, il valore **Status** cambia in **Active** (Attivo).

Per ulteriori informazioni su ciò che viene creato con AWS Managed Microsoft AD, consulta quanto segue:
+ [Cosa viene creato con AWS Managed Microsoft AD](ms_ad_getting_started_what_gets_created.md)
+ [AWS Account Microsoft AD Administrator gestito e autorizzazioni di gruppo](ms_ad_getting_started_admin_account.md)

**Articoli del blog AWS sulla sicurezza correlati**
+ [Come delegare l'amministrazione della directory AWS Managed Microsoft AD agli utenti di Active Directory locali](https://aws.amazon.com/blogs/security/how-to-delegate-administration-of-your-aws-managed-microsoft-ad-directory-to-your-on-premises-active-directory-users/)
+ [Come configurare politiche di password ancora più rigorose per soddisfare gli standard di sicurezza utilizzando Directory ServiceAWS Managed Microsoft AD](https://aws.amazon.com/blogs/security/how-to-configure-even-stronger-password-policies-to-help-meet-your-security-standards-by-using-aws-directory-service-for-microsoft-active-directory/)
+ [Come aumentare la ridondanza e le prestazioni di Directory Service for Managed AWS Microsoft AD aggiungendo controller di dominio](https://aws.amazon.com/blogs/security/how-to-increase-the-redundancy-and-performance-of-your-aws-directory-service-for-microsoft-ad-directory-by-adding-domain-controllers/)
+ [Come abilitare l'uso di desktop remoti implementando Microsoft Remote Desktop Licensing Manager su Managed Microsoft AD AWS](https://aws.amazon.com/blogs/security/how-to-enable-the-use-of-remote-desktops-by-deploying-microsoft-remote-desktop-licensing-manager-on-aws-microsoft-ad/)
+ [Come accedere all' Console di gestione AWS utilizzo di AWS Managed Microsoft AD e alle credenziali locali](https://aws.amazon.com/blogs/security/how-to-access-the-aws-management-console-using-aws-microsoft-ad-and-your-on-premises-credentials/)
+ [Come abilitare l'autenticazione a più fattori per AWS i servizi utilizzando AWS Managed Microsoft AD e credenziali locali](https://aws.amazon.com/blogs/security/how-to-enable-multi-factor-authentication-for-amazon-workspaces-and-amazon-quicksight-by-using-microsoft-ad-and-on-premises-credentials/)
+ [Come accedere facilmente ai AWS servizi utilizzando Active Directory locale](https://aws.amazon.com/blogs/security/how-to-easily-log-on-to-aws-services-by-using-your-on-premises-active-directory/)