Configurare la sincronizzazione selettiva delle password con AADConnect

In questo articolo vedremo come configurare AADConnect per sincronizzare l’hash delle password in Azure AD, per uno specifico gruppo di utenti.

In generale, possiamo suddividere i clienti in due tipologie:

  • quelli che vogliono utilizzare la modern identity per le applicazioni cloud e decidono di sincronizzare gli hash da un sistema di identità on-premise (Active Directory);
  • quelli che non sono a proprio agio con la sincronizzazione dell’hash delle password sul cloud pubblico ed utilizzano i metodi tradizionali per l’accesso alle app cloud come l’ADFS.

In questo blog, ci focalizzeremo in particolare su questo secondo gruppo di clienti che predilige un approccio graduale alla modern identity e procede a step iniziando da un piccolo set di utenti per la sincronizzazione.

Facciamo un esempio: i clienti potrebbero volere che alcuni utenti abbiano l’hash delle password solo su Azure.
Gli scenari sono dei più vari: ad esempio, supportare le applicazioni basate su Kerberos in Azure AD e modificare l’approccio della migrazione per le applicazioni cloud.
Il metodo di sincronizzazione dell’hash delle password ti offre numerosi vantaggi ed abilita le applicazioni alla Modern cloud identity.
Ti rimandiamo al seguente articolo per maggiori informazioni: https://docs.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-password-hash-synchronization#how-password-hash-synchronization-works.

Approccio
Per gli utenti che vogliono sincronizzare l’hash della password su Azure AD, utilizzeremo l’attributo AD “adminDescription” come filtro. In questo esempio sincronizzeremo la password quando il valore ‘adminDescription’ dell’utente sarà uguale a ‘SyncHash‘.
Creeremo due regole custom di sincronizzazione in AADConnect:

  • La prima che sincronizzerà gli utenti e le loro password hashes;
  • La seconda che sincronizzerà solo gli utenti.

La regola di default con il password sync abilitato, verrà disabilitata.

IMPORTANTE: consigliamo di effettuare le operazioni dapprima in ambiente Dev/Test.

Riepilogo modifiche:
Di seguito riassumiamo le attività che devi eseguire per configurare AADConnect per la sincronizzazione selettiva dell’hash delle password:

  • Disabilitare la regola di default con la sincronizzazione dell’hash delle password.
  • Creare le due regole di sincronizzazione personalizzate che sincronizzeranno gli utenti con Azure AD: una con l’hash delle password e una senza.
  • Abilitare la sincronizzazione tramite la procedura guidata di configurazione di AAD Connect.
  • Convalidare la sincronizzazione delle password.

Passaggi:

  1. Sul server AADConnect, assicurati che la voce Password Hash Sync sia disabilitata.

2. Apri il Synchronization Rules Editor ed imposta il “Password Sync” su “On” ed il ” Rule Type” su “Standard”.

3. Seleziona la regola “In from AD – User AccountEnabled” e fai click su “Edit”. Ti apparirà un popup che suggerisce di creare una copia modificabile e di disabilitare la regola originale. Fai click su “Yes“.

  1. Prima di tutto, configura la regola di sincronizzazione senza l’hash delle password.
  • Dai un nome alla regola, ad es. “In from AD – User AccountEnabled – No Pass Sync”.
  • Cambia la precedence in ’99’ o nel valore minimo disponibile.
  • Mantieni entrambe le caselle “Enable Password Sync” e “Disabled” senza flag e fai click su “Next”.

Nella schermata “Scoping filter” fai click su “Add clause” e seleziona “adminDescription” “NOTEQUAL” “SyncHash”. Poi, clicca su “Next”.

  1. Nelle schermate “Join Rules” e “Transformations” non ti viene richiesta nessuna modifica. Fai click su “Save”.
  2. Verrà creata una nuova regola personalizzata senza Password Hash sync.

8. Ora vediamo come creare la regola personalizzata con la sincronizzazione dell’hash delle password abilitata.
Ancora una volta, cerca la regola standard “In from AD – User AccountEnabled“, selezionala e fai click su “Edit”.
Clicca “Yes” quando ti viene richiesto di creare una nuova regola.

9. Come indicato nella procedura precedente:

  • Dai un nome alla regola, ad es. “In from AD – User AccountEnabled – Pass Hash Sync“.
  • Cambia la precedence in ’98’ o nel valore minimo disponibile.
  • Seleziona la casella di “Enable Password Sync” e fai click su “Next”.

10. Nella schermata “Scoping filter“, fai click su “Add clause” e seleziona “adminDescription” “EQUAL” “SyncHash” e clicca su “Next”.

11. Nelle schermate “Join Rules” e “Transformations” non ti viene richiesta alcuna modifica. Fai click su “Save”.

12. Assicurati di avere abilitato una sola regola per la sincronizzazione delle password. Mantieni la regola standard “In from AD – User AccountEnabled” disabilitata per ricevere il flusso dell’hash delle password solo dalla personalizzazione che hai appena creato.

13. Per confermare l’applicazione delle regole, esegui “Full Sync Preview” per utenti casuali con e senza il flag “adminDescription” aggiornato.

14. Gli utenti con “AdminDescription” equals “SyncHash” dovrebbero avere la regola “Pass Hash Sync” applicata.

15. Gli utenti senza flag “AdminDescription” dovrebbero avere la regola “No Pass Sync” applicata.

16. Dopo la convalida tramite “Full Sync preview”, esegui “Full Sync Cycle” per consentire a tutti gli utenti di utilizzare le nuove regole personalizzate.

Start-ADSyncSyncCycle -PolicyType Initial

17. Al termine del Full Sync, assicurati che le regole siano state applicate per tutti gli utenti. A questo punto, potrai abilitare la sincronizzazione dell’hash delle password tramite la procedura guidata di configurazione di AAD Connect.

18. Per confermare che gli utenti con il flag ‘adminDescription’ stanno sincronizzando la password in Azure, cerca i seguenti event log sul server AAD Connect.

Event IDEsempio di eventoCausa
656Password Change Request – Anchor : H552hI9GwEykZwof74JeOQ==, Dn : CN=Viola Hanson,OU=Cloud Objects,DC=contoso,DC=local, Change Date : 05/01/2013 16:34:08La sincronizzazione della password indica che è stata rilevata una modifica e tenta di sincronizzarla con Azure AD. Ciò identifica l’utente o gli utenti la cui password è stata cambiata. Ogni lotto contiene almeno un utente fino ad un massimo di 50.
657Password Change Result – Anchor: eX5b50Rf+UizRIMe2CA/tg==, Dn : CN=Viola Hanson,OU=Cloud Objects,DC=contoso,DC=local, Result : Success.Utenti la cui password è stata sincronizzata correttamente.

Le informazioni presenti in questo post, sono prese dall’articolo: https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/configure-selective-password-synchronization-with-aadconnect/ba-p/1459434

Finalmente disponibile l’Active Directory Domain Services authentication per Azure Files

Microsoft è felice di annunciare la general availability del supporto di Azure Files per l’autenticazione con Active Directory Domain Services (AD DS) on-premises.

Con l’aumento del lavoro da remoto e la migrazione di file nel cloud, mantenere l’accesso utilizzando le credenziali di Active Directory semplifica notevolmente l’esperienza di gestione dell’IT e offre una migliore mobilità. E, ancora più interessante: non è necessario riconfigurare i client. Finché i tuoi server on-premises o i laptop degli utenti saranno collegati al dominio AD DS, potrai sincronizzare Active Directory con Azure AD, abilitare l’autenticazione AD DS sull’account di storage e organizzare direttamente la condivisione dei file. Ciò rende la migrazione da on-premises a cloud estremamente semplice, poiché le ACL di Windows potranno essere trasferite su Azure Files ed essere utilizzate per l’autorizzazione.
Assieme al supporto di endpoint privati, è possibile accedere ai dati proprio come in un file server on-premises.

L’integrazione di AD DS on-premises semplifica anche l’esperienza di configurazione di Azure Files come spazio di memorizzazione del profilo utente per scenari Virtual Desktop. Sfruttandolo per gli ambienti Virtual Desktop Infrastructure (VDI) si elimina la necessità di auto-ospitare i file server. Con questa integrazione, si estende ad Azure la stessa modalità di autenticazione e autorizzazione dei file server tradizionali. I profili degli utenti saranno caricati  dal file share alla sessione desktop con un’esperienza di single sign-on. È anche possibile continuare ad utilizzare l’attuale configurazione AD DS e, se necessario, riportare le liste di controllo degli accessi (ACL) di Windows.
Oltre a tutto questo Azure Files, quale servizio di file nativo del cloud, è scalabile in maniera dinamica: questo gli permette di adattarsi al cambiamento della capacità e dei modelli.
Per esempio, la tua farm VDI potrebbe essere stata inizialmente impostata per supportare 500 utenti ma, con un maggior numero di persone che lavora da remoto, potrebbe essere necessario scalare fino a 5000 utenti.
La possibilità di eseguire queste operazioni, riduce anche i costi di gestione dati dall’implementazione di eventuali ed ulteriori file server e dalla loro riconfigurazione.

Per aiutarti nella configurazione, Microsoft ha collaborato con fornitori VDI di terze parti per offrirti una guida dettagliata. Puoi seguire questa guida step by step per configurare i contenitori di profili FSLogix di Windows Virtual Desktop con Azure Files.
Citrix ha lavorato con Microsoft per fornire un supporto giornaliero ad Azure Files come soluzione di storage certificata sia per la gestione dei profili utente che per le tecnologie di personalizzazione. L’utilizzo di quest’ultimo fornisce una soluzione di storage semplice ed economica per i dati degli utenti nel vostro ambiente VDI. Informazioni dettagliate sulla configurazione per l’integrazione con le tecnologie Citrix sono disponibili nella Citrix Tech Zone.

Di seguito i più recenti aggiornamenti su Azure Files:

  • Maggiore protezione dei dati grazie al soft delete: per proteggere le condivisioni dei file Azure dalla cancellazione accidentale, Microsoft ha rilasciato la preview di soft delete. Si tratta di una sorta di cestino. Quando una condivisione viene eliminata, passa a uno stato di soft delete: decidi tu il lasso di tempo entro il quale i dati possono essere ripristinati prima dell’eliminazione permanente.
  • Migliore scalabilità con una dimensione massima dei file aumentata a 4 TiB: la dimensione massima supportata su un singolo file è stata aumentata da 1TiB a 4 TiB. Se utilizzi la condivisione di file per memorizzare documenti di ingegneria o dischi rigidi virtuali (VHD), questo risolverà le tue preoccupazioni sulle limitazioni delle dimensioni. I file più grandi sono supportati dal protocollo Server Message Block (SMB) e saranno abilitati per l’accesso REST assieme a quelli standard .
  • Supporto endpoint privato per Azure File Sync: a partire dalla versione 10.1 di Azure File Sync, è possibile creare endpoint privati per Storage Sync Services. Questo ti permette di collegarti in modo sicuro alle tue risorse Azure on-premise utilizzando un ExpressRoute con peering privato o una connessione VPN Site-to-Site.

Per maggiori informazioni:


Le informazioni presenti in questo post, sono prese dall’articolo: General availability of Azure Files on-premises Active Directory Domain Services authentication.

Gestione delle unità amministrative in Azure Active Directory (preview)

Un’unità amministrativa è una risorsa di Azure AD che può fungere da container per altre risorse di Azure AD. Questa versione in preview, permette all’unità amministrativa di contenere solo utenti e gruppi.

Le unità amministrative consentono di concedere autorizzazioni di amministratore limitate a un dipartimento, una regione o un segmento dell’azienda definito. È possibile utilizzarle per delegare le autorizzazioni agli amministratori regionali o per impostare policy a livello granulare. Ad esempio, un amministratore dell’account utente può aggiornare le informazioni del profilo, reimpostare le password ed assegnare licenze per gli utenti solo nella sua unità amministrativa.
Può, ad esempio, delegare agli specialisti dell’assistenza regionale il ruolo di Helpdesk Administrator destinato alla sola gestione degli utenti nella regione che supportano.

Scenario di distribuzione
La limitazione dell’ambito amministrativo mediante le unità amministrative può essere utile nelle organizzazioni costituite da divisioni indipendenti di qualsiasi tipo.
Per esempio: una grande università composta da molte scuole autonome (School of Business, School of Engineering e così via) in cui ognuna ha un team di amministratori IT che controlla l’accesso, gestisce gli utenti e definisce le politiche per la loro scuola.
Un central administrator potrebbe:

  • Creare un ruolo con autorizzazioni amministrative solo per gli utenti di Azure AD nell’unità amministrativa della business school;
  • Creare un’unità amministrativa per la business school;
  • Popolare l’unità di amministrazione solo con gli studenti e il personale della business school;
  • Aggiungere il team IT della business school al ruolo.

Requisiti di licenza

L’uso delle unità amministrative richiede una licenza di Azure Active Directory Premium per ciascun amministratore e la licenza gratuita di Azure Active Directory per i membri.
Per altre informazioni, vi rimandiamo all’articolo: Iniziare ad utilizzare Azure AD Premium

Gestire le unità amministrative
Con questa preview, è possibile gestire le unità amministrative utilizzando il portale di Azure, i cmdlet e gli script di PowerShell o Microsoft Graph.
È possibile fare riferimento alla seguente documentazione per i dettagli:

Creare, rimuovere, popolare e aggiungere ruoli alle unità amministrative: completare le procedure pratiche;
Lavorare con le unità amministrative: come lavorare con le unità amministrative usando PowerShell;
Supporto grafico all’unità amministrativa: documentazione dettagliata su Microsoft Graph per unità amministrative.

Pianificare le proprie unità amministrative
Le unità amministrative possono essere usate per raggruppare logicamente le risorse di Azure AD. Ad esempio, per un’organizzazione il cui dipartimento IT è diffuso a livello globale, potrebbe avere senso creare unità amministrative che definiscano tali confini geografici. In un altro esempio, in cui una multinazionale ha diverse “sub-organizzazioni”, che sono semi-autonome nelle operazioni, ognuna di esse può essere rappresentata da un’unità amministrativa.

I criteri su cui vengono create le unità amministrative saranno guidati dai requisiti unici di un’organizzazione. Le unità amministrative sono un modo comune per definire la struttura tra i servizi M365. È possibile ottenere il massimo valore dalle unità amministrative quando è possibile associare risorse comuni su M365 in un’unità amministrativa.

Fasi per la creazione di unità amministrative nell’azienda:

  1. Adozione iniziale: l’organizzazione inizierà a creare unità amministrative in base a criteri iniziali e il numero di unità amministrative aumenterà man mano che i criteri vengono perfezionati;
  2. Potatura: una volta definiti i criteri, le unità amministrative non più necessarie verranno eliminate;
  3. Stabilizzazione: la struttura organizzativa è ben definita e il numero di unità amministrative non cambierà in modo significativo nel breve periodo.

Scenari attualmente supportati
Gli amministratori globali o gli amministratori con ruolo privilegiato possono usare il portale di Azure AD per creare unità amministrative, aggiungere utenti come membri di unità amministrative ed assegnare il personale IT a ruoli di amministratore. Questi amministratori potranno quindi utilizzare il portale di Office 365 per la gestione di base degli utenti nelle loro unità amministrative.

Inoltre, i gruppi potranno essere aggiunti come membri dell’unità amministrativa e l’amministratore del gruppo potrà gestirli usando PowerShell, Microsoft Graph e il portale di Azure AD.

Le seguenti tabelle descrivono il supporto corrente per gli scenari delle unità amministrative.

Gestione dell’unità amministrativa

PermessiGraph/ PowerShellPortale
Azure AD
Centro amministrazione MS365
Creazione/eliminazione di unità amministrativeSupportatoSupportatoNon supportato
Aggiunta/rimozione membri dell’unità amministrativa singolarmenteSupportatoSupportatoNon supportato
Aggiunta/rimozione in blocco dei membri dell’unità amministrativa utilizzando il file .csvNon supportatoSupportatoNessun piano da supportare
Assegnazione di amministratori con ambito unità amministrativaSupportatoSupportatoNon supportato
Aggiunta e rimozione di membri AU in modo dinamico in base agli attributiSupportatoNon supportatoNon supportato

Gestione Utenti

PermessiGraph/ PowerShellPortale
Azure AD
Centro amministrazione MS365
gestione unità amministrative di proprietà utente, password, licenzeSupportatoSupportatoSupportato
blocco e sblocco nell’ambito delle unità amministrative degli accessi degli utentiSupportatoSupportatoSupportato
gestione nell’ambito delle unità amministrative delle credenziali MFA dell’utenteSupportatoSupportatoNon supportato

Gestione Gruppo

PermessiGraph/ PowerShellPortale
Azure AD
Centro amministrazione MS365
gestione nell’ambito delle unità amministrative delle proprietà e dei membri del gruppoSupportatoSupportatoNon supportato
gestione nell’ambito delle unità amministrative delle licenze di gruppoSupportatoSupportatoNon supportato

Nota: Gli amministratori in ambito di unità amministrativa non possono gestire le regole di appartenenza al gruppo dinamico.Le unità amministrative applicano l’ambito solo alle autorizzazioni di gestione. Non impediscono ai membri o agli amministratori di utilizzare le Autorizzazioni utente predefinite per scoprire altri utenti, gruppi o risorse al di fuori dell’unità amministrativa. Nel portale di Office 365, gli utenti esterni alle unità amministrative vengono filtrati, ma è possibile scoprire altri utenti nel portale di Azure AD, PowerShell e altri servizi Microsoft.

<hr>

Le informazioni presenti in questo post, sono prese dall’articolo: Administrative units management in Azure Active Directory (preview).

Universal Print: una soluzione di stampa basata sul cloud

I clienti di tipo commercial ed educational che si spostano sul cloud di Microsoft 365 necessitano, da tempo, di un’esperienza di stampa semplice e veloce per i propri dipendenti.
Microsoft è lieta di annunciare la private preview di Universal Print: un’infrastruttura di stampa basata sul cloud che consente agli utenti di poter godere di un’esperienza di stampa semplice, ricca e sicura e che di certo contribuirà a ridurre tempo e carico di lavoro per gli IT manager.

Universal Print: una soluzione di stampa basata sul cloud

Universal Print sposta le funzionalità di stampa di Windows Server sul cloud di Microsoft 365.
Le aziende, quindi, non hanno più bisogno di server di stampa locali e non devono installare i driver di stampa sui dispositivi.
Inoltre, Universal Print aggiunge features chiave quali i gruppi di sicurezza per l’accesso alla stampante, il rilevamento della stampante basata sulla posizione ed una ricca esperienza di amministrazione.
“In quanto scuola, abbiamo risorse IT limitate: siamo rimasti molto soddisfatti di come sia facile installare Universal Print e metterlo in funzione.” ha dichiarato Brian Hoyt, direttore dell’IT presso la French American School of Puget Sound.
“Inoltre, non abbiamo dovuto modificare i dispositivi degli utenti finali, il che ci ha permesso di risparmiare una notevole quantità di tempo.”

Le organizzazioni IT possono distribuire le stampanti e registrarle con il servizio Universal Print senza dover configurare una complessa stampa ibrida.
Inoltre, le stampanti possono essere preconfigurate e facilmente individuate dai dispositivi Windows a cui è stato aggiunto Azure Active Directory (Azure AD). Gli utenti possono continuare a stampare dai loro dispositivi Windows o Office come sempre.

Universal Print: una soluzione di stampa basata sul cloud

Le aziende potranno usufruire della migliore esperienza cloud con stampanti che supportano Universal Print in maniera nativa.
Microsoft sta lavorando con il suo ecosistema di partner (in particolare con Canon Inc) per offrire ai clienti questo tipo di stampante.
“Il modo in cui le persone lavorano cambia mentre il cloud computing e la tecnologia continuano ad espandersi ed evolversi, favorendo la trasformazione digitale. Le stampanti imageRUNNER ADVANCE di Canon offrono la flessibilità e la scalabilità per soddisfare le diverse esigenze dei vari luoghi di lavoro. In collaborazione con Microsoft, ci impegnano a supportare Universal Print e i nostri clienti nel loro percorso verso un workplace digitale.” ha affermato Isamu Sato, Senior General Manager, Office Imaging Products Operations, Canon Inc.

Per le stampati già presenti nei luoghi di lavoro, è possibile utilizzare un’applicazione proxy Universal Print che collega le stampanti alla app.
Se un’azienda o una scuola desidera distribuire la private preview di Universal Print, è necessario disporre di Windows 10 Enterprise o Educational, versione 1903 o successive e di un tenant Azure Active Directory (qualsiasi versione). Universal Print NON richiede Windows Server.

Per partecipare alla preview, basta compilare il seguente modulo.
Per rimanere aggiornati e fornire i vostri feedback, potete unirvi alla Community di Universal Print .

Per maggiori dettagli su funzionalità e requisiti, consultate la documentazione Universal Print .


Le informazioni presenti in questo post, sono prese dall’articolo: Announcing Universal Print: a cloud-based print solution.

Portare le identità da AD disconnessi ad Azure AD in pochi e semplici click

Chi di voi lavora in una grande azienda, probabilmente sa già quante complicazioni emergano quando viene fatta un’acquisizione e vi viene chiesto di fornire servizi di cloud identity ad un nuovo business group (che solitamente ha già un suo set di domini di Active Directory).

Se vi riconoscete in questo scenario, allora sappiate che Microsoft ha annunciato la pubblic preview del cloud provisioning di Azure AD Connect.

Con il cloud provisioning, i clienti possono facilmente effettuare il provisioning delle identità da molteplici foreste AD disconnesse ad Azure AD.
Azure AD Connect provisioning cloud è progettato per soddisfare e raggiungere gli obiettivi di identità ibride per la sincronizzazione di utenti, gruppi e contatti con Azure AD.
Può essere usato assieme a Azure AD Connect Sync ed offre i seguenti vantaggi:

Aiuta il provisioning da foreste di AD disconnesse ad Azure AD –> gli scenari comuni includono l’acquisizione ed il merge, in cui le foreste di Active Directory della società acquisita sono isolate dalla società padre. Indipendentemente dalla ragione, il cloud provisioning vi permette di integrare velocemente queste foreste di AD disconnesse in un tenant Azure AD.
Riduce l’impronta locale –> l’agente di provisioning è leggero, la configurazione ed il processing vengono fatti nel cloud.
Availability di grado enterprise –> per semplificare le distribuzioni a disponibilità elevata, in particolare per le organizzazioni che si basano sulla sincronizzazione degli hash delle password da AD ad Azure AD, è possibile usare più agenti di provisioning.

Cloud provisioning
Impostare il cloud provisioning richiede due passaggi.
Il primo è quello di installare il provisioning agent su un dominio joinato al server (o server VM).
Il secondo è quello di configurare il cloud provisioning sul portale di Azure.

Step 1: Installare il provisioning agent
Prima di installare l’Azure AD Provisioning agent, controllate i prerequisiti.

1. In Azure Ad Connect, cliccare su Manage provisioning (preview).

Portare le identità da AD disconnessi in Azure AD con pochi e semplici click

2. Da un un server Windows joinato, fate click su Download Agent per scaricare l’Azure AD provisioning agent.

Portare le identità da AD disconnessi in Azure AD con pochi e semplici click

3. Seguite la procedura guidata per installare il pacchetto di provisioning agent.

Portare le identità da AD disconnessi in Azure AD con pochi e semplici click

4. Una volta installato l’agent, tutto è pronto per configurare il provisioning sul portale di Azure.

Portare le identità da AD disconnessi in Azure AD con pochi e semplici click

Step 2: Configurare il cloud provisioning
1. All’interno di Azure AD Connect, cliccate su Manage provisioning (preview).

Portare le identità da AD disconnessi in Azure AD con pochi e semplici click

2. Cliccate + New configuration

Portare le identità da AD disconnessi in Azure AD con pochi e semplici click

3. Cliccate Enable per applicare la configurazione

Portare le identità da AD disconnessi in Azure AD con pochi e semplici click

4. Salvate la configurazione. Le modifiche dell’Acrive Directory verranno inviate ad Azure AD ogni due minuti.
Per ulteriori informazioni, vi rimandiamo al tutorial Azure AD Connect cloud provisioning.

Funzionalità di Azure AD Connect cloud provisioning
Ora che avete familiarità con il cloud provisioning, nell’immagine seguente trovate le funzionalità attualmente supportate.

Portare le identità da AD disconnessi in Azure AD con pochi e semplici click

Per saperne di più, vi rimandiamo alla Documentazione ufficiale Microsoft.


Le informazioni presenti a questo post, sono prese dall’articolo: Bring identities from disconnected ADs into Azure AD with just a few clicks!.