Category Archives: Azure Active Directory

Azure AD Connect: l’upgrade non si riflette nel portale di Office 365

La versione 1.3.20 di Azure AD Connect è stata velocemente sostituita dalla versione 1.3.21.0 per poter sistemare una serie di vulnerabilità. Quest’ultima, però, sembra mostrare qualche comportamento inaspettato per le aziende che lo stanno utilizzando.

La situazione
Prendiamo come esempio il seguente scenario.
– Avete un ambiente Active Directory Domain Services (AD DS) e sincronizzate gli oggetti ad un tenant Azure AD facendo leva su Azure AD Connet, il prodotto gratuito di Microsoft per le Hybrid Identity, che permette di sincronizzare oggetti e attributi dall’ambiente Active Directory Domain Services (AD DS) on premises e dalle directory compatibili LDAP v3-ad Azure Active Directory. Avete licenziato Azure AD Premium e sfruttare Azure AD Connect Health per gestire l’implementazione delle Hybrid Identity.

– Avete recentemente aggiornato Azure AD Connect alla versione 1.3.21.0
– Determinate la versione di Azure AD Connect dal portale di Office 365:
1. Dal browser, navigate fino al portale di Office 365;
2. Effettuate il sign in con un account con privilegi amministrativi. Se richiesto e disponibile, effettuate la multi-factor authentication;
3. Nel menù in alto a sinistra, cliccate Admin;
4. L’Azure Active Directory admin center si apre in una nuova tab o finestra;
5. Dal menù di navigazione sulla sinistra, cliccate su click on Azure Active Directory;
6. Nel menù di navigazione secondaria di Azure Active Directory, cliccate su Azure AD Connect;
7. Nella finestra principale di Azure AD Connect seguite il link ad Azure AD Connect Health;
8. Nel menù di navigazione secondaria di Azure AD Connect, cliccate Sync services;
9. Nella finestra principale, cliccate sul nome del tenant di Azure AD per entrare nelle sue proprietà;
10. Nel pannello del tenant Azure AD Connect Health, cliccate su Azure Active Directory Connect Servers;
11. Nel pannello Server List, cliccate il nome del Windows Server sul quale avete recentemente aggiornato Azure AD Connect;
12. Nella sezione server, cliccate sulla sezione Properties.

La problematica
Il portale di Office 365 non riflette la versione aggiornata, anche se Azure AD Connect si è aggiornato correttamente.

La soluzione
Si tratta di un comportamento inaspettato.
Per risolverlo, dovete importare il modulo AdSync ed eseguire il comando
Set-ADSyncDirSyncConfiguration sul Windows Server su cui è in esecuzione Azure AD Connect.

Eseguite questi passaggi per risolvere il problema su ognuna delle installazioni Azure AD Connect in uso:
– Loggatevi all’interno del Windows Server su cui è in esecuzione Azure AD Connect.
– Aprite una finestra Windows PowerShell.
– Eseguite la seguente linea di comando:
Import-Module ADSync

– In seguito, eseguite questo comando:
Set-ADSyncDirSyncConfiguration -AnchorAttribute “”

– Chiudete la finestra Windows PowerShell.
– Eseguite il sign out.

Effettuate gli step indicati qui sopra su ogni Windows Server su cui è in esecuzione Azure AD Connect all’interno del vostro ambiente quando sono presenti una o più installazioni Staging Mode Azure AD Connect.


Le informazioni presenti in questo post, sono prese dall’articolo: KnowledgeBase: Azure AD Connect upgrade is not reflected in the Office 365 Portal

Utilizza i nuovi ruoli di Azure Active Directory per ridurre il numero dei Global administrators

Eseguire le vostre attività amministrative giornaliere all’interno di Azure Active Directory (Azure AD) non dovrebbe presupporre il fatto che siate un Global administrator.
Per questo, Microsoft ha introdotto 16 nuovi ruoli all’interno di Azure AD pensati per aiutarvi a ridurre il numero degli amministratori globali e dandovi la possibilità di delegare le attività amministrative ed assegnare ruoli con minori privilegi.

Ad esempio, il Global reader: si tratta di una versione read-only del ruolo Global administrator che vi permette di vedere tutte le impostazioni e le informazioni amministrative. Il Global reader è utile per il planning, l’audit e l’analisi e semplifica il fatto di lavorare con i privilegi dell’amministratore globale.
Il ruolo di global reader è in public preview ed è supportato praticamente in tutti i servizi Microsoft 365.

Inoltre, vi è un’altra serie di nuovi ruoli integrati – sempre in preview – a supporto della gestione delle credenziali e molto altro.

Per saperne di più e conoscere gli altri ruoli, vi rimandiamo all’articolo: 16 new built-in roles—including Global reader—now available in preview.


Le informazioni presenti in questo post, sono prese dall’articolo: Use new Azure Active Directory roles to reduce the number of Global administrators.

Annunciata la public preview del supporto di Azure AD per FIDO2: verso un sign in senza password

Avevamo parlato dell’argomento nel nostro post Windows Hello FIDO2: sempre più vicini a un mondo senza password.
Oggi siamo felicissimi di annunciarvi che, grazie alla public preview del supporto di FIDO2 security keys in Azure Active Directory ci avviciniamo sempre più a scenari aziendali in cui le password non sono più richieste nè necessarie.
Sono stati molti i team di Microsoft coinvolti in questo progetto.
L’obiettivo? Far sì che la tecnologia di FIDO2 potesse fornire accesso scorrevole, sicuro e senza password a tutte le app e i servizi connessi ad Azure AD.

Inoltre, sono state attivate tutta una serie di funzionalità di amministrazione nel portale di Azure che vi permettono di gestire i fattori di autenticazione per utenti e gruppi della vostra azienda.
In questo primo release, potete utilizzarle per gestire un rollout organizzato dell’autenticazione senza password utilizzando le security key di FIDO2 e/o l’applicazione Microsoft Authenticator.
Andando avanti, vedrete la possibilità di gestire tutti i tradizionali fattori di autenticazione (Multi-Factor Authentication (MFA), OATH Token, sign in con numero di telefono, ecc.).
L’obiettivo è quello di abilitarvi all’utilizzo di questo strumento per gestire tutti i fattori di autenticazione.

Senza password non significa meno sicuro
Ogni giorno sempre più aziende spostano le loro infrastrutture sul cloud e utilizzano le applicazioni che si trovano “sulla nuvola”.
Per farlo in maniera coscienziosa, devono sapere che i dati e i servizi archiviati nel cloud sono al sicuro.
Purtroppo, le password non rappresentano più un meccanismo di sicurezza efficace. Gli industry analysts, infatti, riportano che l’81% dei cyberattacchi che vanno a buon fine iniziano da username e password compromesse. Inoltre, la tradizionale MFA, nonostante sia molto efficace, può essere di difficile utilizzo e non viene ancora molto usata.

La missione di Microsoft è quella di fornire ai propri clienti metodi di autenticazione che siano sicuri e di facile utilizzo di modo che gli utenti possano tranquillamente accedere alle informazioni senza preoccuparsi del fatto che qualche hacker prenda possesso del loro account.

Ed è in questo scenario che entra in gioco la passwordless authentication.
Microsoft crede fermamente che aiuterà le aziende a ridurre in maniera significativa e permanente il rischio di account compromessi.

Annunciata la public preview del supporto di Azure AD per FIDO2: verso un sign in senza password

Ora, tutti gli utenti di Azure AD possono autenticarsi senza password utilizzando FIDO2 security key, l’app Microsoft Authenticator, o Windows Hello. Questi potenti fattori di autenticazione sono basati sugli stessi standard e protocolli public key/private key, protetti da fattori biometrici (impronta o riconoscimento facciale o da un PIN. Gli utenti utilizzano un fattore biometrico o un PIN per sbloccare la chiave privata archiviata in maniera sicura sul dispositivo.
La chiave è poi utilizzata per comprendere chi sono utente e dispositivo in relazione a quel determinato servizio.

Annunciata la public preview del supporto di Azure AD per FIDO2: verso un sign in senza password

Da dove iniziare
Per aiutarvi a prendere confidenza ed iniziare il vostro percorso verso un mondo senza password, Microsoft ha rilasciato una serie di funzionalità in versione public preview.
Queste nuove feature includono:
una nuova opzione relativa ai metodi di autenticazione all’interno del portale di amministrazione di Azure AD che vi permette di assegnare ad utenti e gruppi credenziali senza password utilizzando le security key di FIDO2 e il sign-in senza password utilizzando il Microsoft Authenticator.

Annunciata la public preview del supporto di Azure AD per FIDO2: verso un sign in senza password

– funzionalità aggiornate nel Registration portal per i vostri utenti che permettono di creare e gestire le FIDO2 security keys.

Annunciata la public preview del supporto di Azure AD per FIDO2: verso un sign in senza password

– Possibilità di utilizzare le FIDO2 security key per autenticarsi sui dispositivi Windows 10 collegati ad Azure AD ed aggiornati all’ultima versione dei browser Edge e Firefox.

Annunciata la public preview del supporto di Azure AD per FIDO2: verso un sign in senza password

Hardware FIDO2
Microsoft ha lavorato assieme ad alcuni partner di hardware quali Feitian Technologies, HID Global e Yubico per assicurarsi di avere una serie di form factor a disposizione per il lancio, incluse le chiavi che si connettono via USB e protocolli NFC.

Maggiori dettagli sulle partnership.

Verificate che tutte le chiavi di sicurezza FIDO2 che state prendendo in considerazione per la vostra azienda siano conformi alle ulteriori opzioni richieste per essere compatibili con l’implementazione di Microsoft.

Annunciata la public preview del supporto di Azure AD per FIDO2: verso un sign in senza password

La strategia passwordless di Microsoft
La strategia di Microsoft consiste in un approccio a quattro step:
– implementazione dell’offerta alternativa,
– riduzione dell’area coperta da password,
– transizione verso un deployment senza password,
– eliminazione delle password.

Annunciata la public preview del supporto di Azure AD per FIDO2: verso un sign in senza password

Questo è un passo importantissimo verso la realizzazione di scenari aziendali in cui gli utenti non hanno bisogno di password.
Oltretutto, il lavoro di ingegneria svolto per fornire una gestione dei metodi di autenticazione agli amministratori ed il controllo della registrazione dell’utente, permetterà a Microsoft di muoversi ancora più velocemente verso un miglioramento dell’esperienza di gestione delle credenziali assieme alla possibilità di portare nuove funzionalità e credenziali online in modo più semplice.
Inoltre, Microsoft è già al lavoro con il team Windows security engineering per far sì che l’autenticazione FIDO2 funzioni anche sui dispositivi hybrid-joined.

Potete rilasciare i vostri feedback in merito a tutte queste funzionalità, a questo link.

Le informazioni presenti in questo post, sono prese dall’articolo: Announcing the public preview of Azure AD support for FIDO2-based passwordless sign-in.

I criteri di denominazione dei gruppi di Office 365 sono ora configurabili all’interno del portale di Azure Active Directory

Utilizzare PowerShell o il portale per configurare i criteri di denominazione dei gruppi di Office 365

Lo scorso Marzo, in un nostro post, avevamo annunciato la General Availability del criterio di denominazione dei Gruppi di Office 365.

Questa proprietà, permette ai tenant di applicare una naming policy per i gruppi di Office 365 creati dagli utenti tramite applicazioni di tipo group-enabled quali Teams, Outlook, Planner, Stream e Yammer.
Il criterio, invece, non si applica ai gruppi creati dagli amministratori.

Sin dal 2016, gli amministratori hanno configurato la naming policy attraverso PowerShell.
Ora, è stata rilasciata una preview che vi permette di effettuare le stesse operazioni dal portale di Azure Active Directory (Immagine 1).
Recatevi nella sezione dei gruppi del portale e troverete elencate le naming policy all’interno delle Impostazioni.

I criteri di denominazione dei gruppi di Office 365 sono ora configurabili all'interno del portale di Azure Active Directory
Immagine 1: configurare Office 365 Groups Naming Policy all’interno del portale AAD

La configurazione delle impostazioni delle policy tramite un’interfaccia grafica è più semplice rispetto a PowerShell, in particolar modo considerato che devono essere effettuati dei passaggi alquanto complicati per alterare i policy object di Azure Active Directory.
Oltre ad impostare variabili di prefissi e suffissi per aggiungere i nomi forniti dagli utenti, il portale vi permette anche di gestire le parole bloccate.
Si tratta di parole che non volete che gli utenti utilizzino nei nomi dei gruppi. Alcune sono parole pratiche come Payroll e CEO, altri sono termini offensivi.

I criteri non sono retrospettivi
Tenete presente che la Groups Naming Policy si applica solo ai nuovi gruppi e non agli standard di denominazione dei vecchi.
Se volete utilizzare il nuovo standard con i vecchi gruppi, dovrete utilizzare PowerShell.

Funzionalità Premium di AAD
L’utilizzo dei criteri di denominazione dei gruppi di Office 365 è una funzionalità premium di Azure Active Directory che richiede agli utenti il possesso di una licenza Azure Active Directory Premium P1.


Le informazioni presenti in questo post, sono prese dall’articolo: Office 365 Groups Naming Policy Now Configurable in Azure Active Directory Portal.