Public preview del supporto di Azure AD per le security keys di FIDO2 in ambienti ibridi

Siamo felici di annunciarvi la preview pubblica del supporto di Azure AD per le FIDO2 security keys in ambienti ibridi.
Gli utenti possono ora utilizzare le FIDO2 security keys per accedere al loro Hybrid Azure AD joinato a dispositivi Windows 10 ed ottenere un sign-in senza interruzioni alle loro risorse on-premises e cloud.
Sin da lancio della public preview del supporto di FIDO2 per i dispositivi joinati ad Azure AD e per il sign in dei browser, questa era la funzionalità maggiormente richiesta dai clienti senza password.

Sappiamo tutti che le password non sono più efficaci per proteggere i clienti dalle minacce alla cybersecurity.
Infatti, le password compromesse sono la causa più frequente di attacchi a sicurezza di tipo enterprise.
In alternativa, l’autenticazione senza password che utilizza tecnologie avanzate quali la biometrica e la crittografia di chiavi pubblica/privata, fornisce un’esperienza dedicata, di semplice utilizzo e sicurezza di prim’ordine.

Con l’espansione del supporto di FIDO2 agli ambienti ibridi, Microsoft offre un sign-in senza interruzioni ai dispositivi Windows ed accesso virtuale alle risorse cloud ed on-premises utilizzando potenti credenziali pubbliche/private di tipo hardware-backed.

Public preview del supporto di Azure AD per le security keys di FIDO2 in ambienti ibridi

I clienti hanno confermato il fatto che un più semplice deployment sia essenziale per un percorso di successo verso un mondo senza password.
Microsoft ha tenuto in seria considerazione i feedback degli utenti ed ha abilitato le FIDO2 security keys per gli ambienti ibridi.

Gli unici prerequisiti per il deployment dei componenti, sono:
Windows Server patch per i Domain controllers (Server 2016/Server 2019)
Windows Insider Builds 18945 o successive per i PC
Versione 1.4.32.0 o successive di Azure AD Connect

Per iniziare il vostro percorso verso FIDO2, dovete:

1. Abilitare le chiavi di sicurezza quale metodo di autenticazione senza password per il vostro tenant e far si che i vostri utenti forniscano le loro FIDO2 security keys.
Per ulteriori informazioni, vi rimandiamo agli articoli: Enable passwordless security key e User registration and management of FIDO2 security keys.

2. Assicurarvi che i dispositivi Windows siano abilitati all’utilizzo delle FIDO2 security keys per il sign in.
Per ulteriori informazioni, vi rimandiamo all’articolo: Enable passwordless security key sign-in to Windows 10 devices with Azure Active Directory.

3. Configurare i componenti richiesti per il sign in ai vostri dispositivi ibridi AADJ ed il single sign-on (SSO) alle vostre risorse on-premises e cloud.
Per ulteriori informazioni, vi rimandiamo all’articolo: Enable passwordless security key sign-in to on-premises resources with Azure Active Directory.

Inoltre, siamo felici di condividere alcune opzioni di hardware aggiuntive per le FIDO2 security keys grazie ai partner Microsoft Intelligent Security Association.
Ensurity Technologies offre ora la Thin-C USB key with storage, eWBM Inc. ha una nuova chiave Goldengate USB-C e Thales ha annunciato le integrazioni Azure AD passwordless sign-in con la sua PKI-FIDO smartcard.
Per la lista completa dei dispositivi compatibili: FIDO2 security keys.

Per iniziare il vostro percorso verso un’azienda senza password, vi rimandiamo alla pagina ufficiale Microsoft: The end of passwords, go passwordless.


Le informazioni presenti in questo post, sono prese dall’articolo: Public preview of Azure AD support for FIDO2 security keys in hybrid environments.

Portare le identità da AD disconnessi ad Azure AD in pochi e semplici click

Chi di voi lavora in una grande azienda, probabilmente sa già quante complicazioni emergano quando viene fatta un’acquisizione e vi viene chiesto di fornire servizi di cloud identity ad un nuovo business group (che solitamente ha già un suo set di domini di Active Directory).

Se vi riconoscete in questo scenario, allora sappiate che Microsoft ha annunciato la pubblic preview del cloud provisioning di Azure AD Connect.

Con il cloud provisioning, i clienti possono facilmente effettuare il provisioning delle identità da molteplici foreste AD disconnesse ad Azure AD.
Azure AD Connect provisioning cloud è progettato per soddisfare e raggiungere gli obiettivi di identità ibride per la sincronizzazione di utenti, gruppi e contatti con Azure AD.
Può essere usato assieme a Azure AD Connect Sync ed offre i seguenti vantaggi:

Aiuta il provisioning da foreste di AD disconnesse ad Azure AD –> gli scenari comuni includono l’acquisizione ed il merge, in cui le foreste di Active Directory della società acquisita sono isolate dalla società padre. Indipendentemente dalla ragione, il cloud provisioning vi permette di integrare velocemente queste foreste di AD disconnesse in un tenant Azure AD.
Riduce l’impronta locale –> l’agente di provisioning è leggero, la configurazione ed il processing vengono fatti nel cloud.
Availability di grado enterprise –> per semplificare le distribuzioni a disponibilità elevata, in particolare per le organizzazioni che si basano sulla sincronizzazione degli hash delle password da AD ad Azure AD, è possibile usare più agenti di provisioning.

Cloud provisioning
Impostare il cloud provisioning richiede due passaggi.
Il primo è quello di installare il provisioning agent su un dominio joinato al server (o server VM).
Il secondo è quello di configurare il cloud provisioning sul portale di Azure.

Step 1: Installare il provisioning agent
Prima di installare l’Azure AD Provisioning agent, controllate i prerequisiti.

1. In Azure Ad Connect, cliccare su Manage provisioning (preview).

Portare le identità da AD disconnessi in Azure AD con pochi e semplici click

2. Da un un server Windows joinato, fate click su Download Agent per scaricare l’Azure AD provisioning agent.

Portare le identità da AD disconnessi in Azure AD con pochi e semplici click

3. Seguite la procedura guidata per installare il pacchetto di provisioning agent.

Portare le identità da AD disconnessi in Azure AD con pochi e semplici click

4. Una volta installato l’agent, tutto è pronto per configurare il provisioning sul portale di Azure.

Portare le identità da AD disconnessi in Azure AD con pochi e semplici click

Step 2: Configurare il cloud provisioning
1. All’interno di Azure AD Connect, cliccate su Manage provisioning (preview).

Portare le identità da AD disconnessi in Azure AD con pochi e semplici click

2. Cliccate + New configuration

Portare le identità da AD disconnessi in Azure AD con pochi e semplici click

3. Cliccate Enable per applicare la configurazione

Portare le identità da AD disconnessi in Azure AD con pochi e semplici click

4. Salvate la configurazione. Le modifiche dell’Acrive Directory verranno inviate ad Azure AD ogni due minuti.
Per ulteriori informazioni, vi rimandiamo al tutorial Azure AD Connect cloud provisioning.

Funzionalità di Azure AD Connect cloud provisioning
Ora che avete familiarità con il cloud provisioning, nell’immagine seguente trovate le funzionalità attualmente supportate.

Portare le identità da AD disconnessi in Azure AD con pochi e semplici click

Per saperne di più, vi rimandiamo alla Documentazione ufficiale Microsoft.


Le informazioni presenti a questo post, sono prese dall’articolo: Bring identities from disconnected ADs into Azure AD with just a few clicks!.

Azure AD Connect: l’upgrade non si riflette nel portale di Office 365

La versione 1.3.20 di Azure AD Connect è stata velocemente sostituita dalla versione 1.3.21.0 per poter sistemare una serie di vulnerabilità. Quest’ultima, però, sembra mostrare qualche comportamento inaspettato per le aziende che lo stanno utilizzando.

La situazione
Prendiamo come esempio il seguente scenario.
– Avete un ambiente Active Directory Domain Services (AD DS) e sincronizzate gli oggetti ad un tenant Azure AD facendo leva su Azure AD Connet, il prodotto gratuito di Microsoft per le Hybrid Identity, che permette di sincronizzare oggetti e attributi dall’ambiente Active Directory Domain Services (AD DS) on premises e dalle directory compatibili LDAP v3-ad Azure Active Directory. Avete licenziato Azure AD Premium e sfruttare Azure AD Connect Health per gestire l’implementazione delle Hybrid Identity.

– Avete recentemente aggiornato Azure AD Connect alla versione 1.3.21.0
– Determinate la versione di Azure AD Connect dal portale di Office 365:
1. Dal browser, navigate fino al portale di Office 365;
2. Effettuate il sign in con un account con privilegi amministrativi. Se richiesto e disponibile, effettuate la multi-factor authentication;
3. Nel menù in alto a sinistra, cliccate Admin;
4. L’Azure Active Directory admin center si apre in una nuova tab o finestra;
5. Dal menù di navigazione sulla sinistra, cliccate su click on Azure Active Directory;
6. Nel menù di navigazione secondaria di Azure Active Directory, cliccate su Azure AD Connect;
7. Nella finestra principale di Azure AD Connect seguite il link ad Azure AD Connect Health;
8. Nel menù di navigazione secondaria di Azure AD Connect, cliccate Sync services;
9. Nella finestra principale, cliccate sul nome del tenant di Azure AD per entrare nelle sue proprietà;
10. Nel pannello del tenant Azure AD Connect Health, cliccate su Azure Active Directory Connect Servers;
11. Nel pannello Server List, cliccate il nome del Windows Server sul quale avete recentemente aggiornato Azure AD Connect;
12. Nella sezione server, cliccate sulla sezione Properties.

La problematica
Il portale di Office 365 non riflette la versione aggiornata, anche se Azure AD Connect si è aggiornato correttamente.

La soluzione
Si tratta di un comportamento inaspettato.
Per risolverlo, dovete importare il modulo AdSync ed eseguire il comando
Set-ADSyncDirSyncConfiguration sul Windows Server su cui è in esecuzione Azure AD Connect.

Eseguite questi passaggi per risolvere il problema su ognuna delle installazioni Azure AD Connect in uso:
– Loggatevi all’interno del Windows Server su cui è in esecuzione Azure AD Connect.
– Aprite una finestra Windows PowerShell.
– Eseguite la seguente linea di comando:
Import-Module ADSync

– In seguito, eseguite questo comando:
Set-ADSyncDirSyncConfiguration -AnchorAttribute “”

– Chiudete la finestra Windows PowerShell.
– Eseguite il sign out.

Effettuate gli step indicati qui sopra su ogni Windows Server su cui è in esecuzione Azure AD Connect all’interno del vostro ambiente quando sono presenti una o più installazioni Staging Mode Azure AD Connect.


Le informazioni presenti in questo post, sono prese dall’articolo: KnowledgeBase: Azure AD Connect upgrade is not reflected in the Office 365 Portal

Utilizza i nuovi ruoli di Azure Active Directory per ridurre il numero dei Global administrators

Eseguire le vostre attività amministrative giornaliere all’interno di Azure Active Directory (Azure AD) non dovrebbe presupporre il fatto che siate un Global administrator.
Per questo, Microsoft ha introdotto 16 nuovi ruoli all’interno di Azure AD pensati per aiutarvi a ridurre il numero degli amministratori globali e dandovi la possibilità di delegare le attività amministrative ed assegnare ruoli con minori privilegi.

Ad esempio, il Global reader: si tratta di una versione read-only del ruolo Global administrator che vi permette di vedere tutte le impostazioni e le informazioni amministrative. Il Global reader è utile per il planning, l’audit e l’analisi e semplifica il fatto di lavorare con i privilegi dell’amministratore globale.
Il ruolo di global reader è in public preview ed è supportato praticamente in tutti i servizi Microsoft 365.

Inoltre, vi è un’altra serie di nuovi ruoli integrati – sempre in preview – a supporto della gestione delle credenziali e molto altro.

Per saperne di più e conoscere gli altri ruoli, vi rimandiamo all’articolo: 16 new built-in roles—including Global reader—now available in preview.


Le informazioni presenti in questo post, sono prese dall’articolo: Use new Azure Active Directory roles to reduce the number of Global administrators.