Abilita l’accesso ad Azure AD con la posta elettronica come ID alternativo

Microsoft ha annunciato l’anteprima pubblica di una nuova feature: la possibilità di accedere ad Azure AD con la posta elettronica oltre che con l’UPN (UserPrincipalName). Nelle aziende in cui la posta elettronica e l’UPN non sono la stessa cosa, si può creare confusione per gli utenti che non possono utilizzare il proprio indirizzo mail per accedere. Con questa nuova funzionalità, puoi consentire ai tuoi utenti di accedere con il loro UPN o il loro indirizzo e-mail, evitando loro questo disguido.

Questa feature può essere abilitata impostando l’attributo AlternateIdLogin in HomeRealmDiscoveryPolicy. Utilizza le seguenti istruzioni per configurarlo nella tua organizzazione: https://tinyurl.com/y3og58lr

Al momento, molti stanno usando funzionalità in Azure Active Directory (Azure AD) Connect per raggiungere questo obiettivo, ma ciò richiede loro di impostare l’indirizzo di posta elettronica come UPN in Azure AD. Con questa nuova funzionalità, sarà possibile usare lo stesso UPN su Active Directory e Azure AD on-premises per ottenere la migliore compatibilità tra Office 365 e altri carichi di lavoro, consentendo comunque agli utenti di accedere con il loro UPN o e-mail.

Ci auguriamo che questa novità semplifichi l’esperienza di accesso a tutti gli end users.


Le informazioni presenti in questo post, sono prese dall’articolo: https://tinyurl.com/yypv5yer

NOVITÀ DI INTUNE NELLA RELEASE 2006

In questo articolo, scopriremo insieme quali sono le novità più importanti della versione 2006 di Microsoft Intune:

1. CONSEGNA UNIFICATA DELLE APPLICAZIONI AZURE AD ENTERPRISE E OFFICE ONLINE NEL PORTALE AZIENDALE

Sul riquadro di personalizzazione di Intune, puoi scegliere di nascondere o mostrare sia le applicazioni Azure AD Enterprise sia le applicazioni di Office Online nel Portale aziendale. Ogni utente finale vedrà l’intero catalogo app dal servizio Microsoft scelto. Di default, ogni fonte aggiuntiva di app sarà impostata su “Hide” (Nascondi). Questa funzione sarà attiva dapprima sul sito web del Portale Aziendale, a cui dovrebbe seguire il supporto sul Portale Aziendale di Windows.
Nel Microsoft Endpoint Manager admin center, selezionare Tenant administration Customization per trovare questa impostazione di configurazione.

2. UTILIZZO DI CERTIFICATI PKCS CON PROFILI WI-FI SU WINDOWS 10 E DISPOSITIVI PIÙ RECENTI

Puoi autenticare i profili Wi-Fi di Windows con i certificati SCEP (Device configuration>Profiles>Create profile>Windows 10 and later for platform >Wi-Fi for profile type >Enterprise>EAP type). Da ora puoi utilizzare i certificati PKCS (nuovi o esistenti nel tenant).

3. I DISPOSITIVI PERSONALI POSSONO UTILIZZARE LA VPN PER LA DISTRIBUZIONE

Il nuovo profilo autopilot “Skip Domain Connectivity Check” consente di implementare dispositivi Hybrid Azure AD Join senza accedere alla rete aziendale usando il proprio client VPN Win32 di terze parti. Per vedere il nuovo “bottone”, passa a Microsoft Endpoint Manager admin center Devices > Windows > Windows enrollment > Deployment profiles > Create profile > Out-of-box experience (OOBE).

4. I PROFILI DELLA PAGINA RELATIVA ALLO STATO DI REGISTRAZIONE POSSONO ESSERE IMPOSTATI SU DEVICE GROUPS

In precedenza, i profili della pagina di registrazione (ESP) potevano essere indirizzati solo a gruppi di utenti. Ora, puoi anche impostarli su gruppi di dispositivi target. Per ulteriori informazioni, vedi {Set up an Enrollment Status Page] (../enrollment/windows-enrollment-status.md).

5. CAMBIARE UTENTE PRIMARIO SU DISPOSITIVI CO-GESTITI

Puoi modificare l’utente principale per dispositivi Windows co-gestiti.

6. L’IMPOSTAZIONE DELL’UTENTE PRINCIPALE DI INTUNE IMPOSTA ANCHE LA FUNZIONE DI PROPRIETARIO DI AZURE AD

Questa nuova funzionalità imposta automaticamente la proprietà del titolare sui dispositivi Hybrid Azure AD Joined appena registrati, nello stesso momento in cui viene impostato l’utente primario Intune.

Questa è una modifica al processo di registrazione e si applica solo ai dispositivi appena registrati. Per i dispositivi Hybrid Azure AD Joined esistenti, è necessario aggiornarla manualmente.
Per fare ciò, puoi utilizzare la funzione Change primary user feature o uno script.

Quando i dispositivi Windows 10 si agganciano in Join a Hybrid Azure Azure Directory , il primo utente del dispositivo diventa l’utente principale in Endpoint Manager. Attualmente, l’utente non è impostato sul corrispondente dispositivo Azure AD. Ciò causa un’incoerenza quando si confronta la proprietà di owner dal portale di Azure AD con la proprietà di primary user nell’interfaccia di amministrazione di Microsoft Endpoint Manager. La proprietà non viene popolata sui dispositivi agganciati ad Hybrid Azure AD. Questa limitazione impedisce la configurazione del self-service recovery di BitLocker da Azure AD. La nuova feature risolve la seguente limitazione.

7. GLI AMMINISTRATORI NON HANNO PIÙ BISOGNO DI UNA LICENZA INTUNE PER ACCEDERE ALLA CONSOLE DI AMMINISTRAZIONE DI MICROSOFT ENDPOINT MANAGER

Ora puoi impostare un interruttore a livello di tenant per rimuovere il requisito di licenza Intune per gli amministratori che vogliono accedere alla console di amministrazione MEM ed interrogare graph APIs.
ATTENZIONE: Una volta rimosso il requisito di licenza, non è più possibile ripristinarlo.

8. UTILIZZO DELL’ANALISI DEGLI ENDPOINT PER MIGLIORARE LA PRODUTTIVITÀ DEGLI UTENTI E RIDURRE I COSTI DI SUPPORTO IT

L’analisi degli endpoint ha l’obiettivo di migliorare la produttività e ridurre i costi di supporto IT fornendo informazioni sull’esperienza utente.
Gli insights consentono all’IT di ottimizzare l’esperienza con supporto proattivo e di rilevare eventuali regressioni, valutando l’impatto da parte dell’utente sulle modifiche alla configurazione.
Per ulteriori informazioni, consulta il seguente link: https://docs.microsoft.com/it-it/mem/analytics/overview.

9. RISOLUZIONE PROATTIVA DEI PROBLEMI SUI DISPOSITIVI DEGLI UTENTI FINALI UTILIZZANDO I PACCHETTI DI SCRIPT

Puoi creare ed eseguire pacchetti di script sui dispositivi degli utenti finali per trovare e risolvere in modo proattivo i principali problemi di supporto. La distribuzione di questi ti aiuterà a ridurre le chiamate di supporto. Intune ti consente di visualizzare lo stato dei pacchetti distribuiti e di monitorare i risultati di rilevamento e correzione.

Per maggiori informazioni consulta i seguenti link:


Le informazioni presenti in questo post, sono prese dall’articolo: https://www.cloud-boy.be/blog/whats-new-in-intune-release-2006/

Backup di Veeam per Azure

Veeam ha da poco rilasciato una soluzione nativa per il backup di macchine virtuali in Azure, rivolta sia ad aziende PMI che enterprise.
Sono disponibili, infatti, due versioni:

  • la versione gratuita, che protegge fino a 10 Virtual Machines Azure;
  • la versione “Bring Your Own License”, il cui numero di macchine da poter sottoporre a backup è legato al numero di licenze acquistate.

Perché parliamo di soluzione “nativa”? E perché si tratta di un importante valore aggiunto?

Sappiamo che “Veeam Backup & Replication” si integra in modalità “agentless” con gli ambienti di virtualizzazione Microsoft Hyper-V e VMware, senza necessità di installare software aggiuntivi sulle VM.
Sulle macchine virtuali in Azure invece, fino ad ora, doveva essere installato un agent specifico (per Windows o per Linux): inoltre, dovevano essere gestite come macchine fisiche.

Con l’arrivo di “Veeam Backup for Microsoft Azure” ora potrai effettuare il backup, e l’eventuale ripristino, delle macchine su Azure, senza dover utilizzare nessun agent, grazie ad una soluzione integrata con la piattaforma cloud di Microsoft.

In questo articolo, descriveremo le funzionalità della soluzione e vedremo i passi da intraprendere per eseguire il backup di un set di virtual machines in Azure.

Caratteristiche di Veeam Backup for Microsoft Azure
Puoi installare facilmente scaricandono dal Marketplace Azure.
Ti permette di effettuare due diversi tipi di backup:

  1. Utilizzando le snapshot native delle macchine virtuali;
  2. Archiviando i backup delle macchine virtuali in Azure BLOB Storage.

Una metodologia non esclude l’altra: infatti, hai la possibilità di creare delle policy di backup per applicarle entrambe, magari con frequenze e criteri di conservazione differenti.

Per maggiori informazioni sulle shapshot dei dischi delle VM Azure consulta questo link: https://docs.microsoft.com/it-it/azure/virtual-machines/windows/snapshot-copy-managed-disk.

Maggiori informazioni sui BLOB Storage di Azure a questo link: https://docs.microsoft.com/it-it/azure/storage/blobs/

Per quanto riguarda il ripristino, potrai effettuarlo sovrascrivendo la macchina originale o selezionando una posizione diversa con impostazioni alternative. Potrai anche ripristinare singoli volumi e file.

Se vuoi ottenere una copia dei backup su storage locale, puoi integrare Veeam Backup for Microsoft Azure con un’eventuale installazione on-premises di Veeam Backup & Replication: ciò ti permette anche di coordinare i ripristini delle macchine virtuali Azure su infrastrutture VMware o Hyper-V presenti nei datacenter.

Architettura

L’architettura è composta da tre elementi (figura seguente):

  1. Il Controller Server, una VM Azure basata su Linux su cui è installato il prodotto, creata automaticamente durante il deployment dal Marketplace;
  2. I Backup Repository, spazi BLOB Storage su cui archiviare i backup delle VM Azure, definiti dall’utente;
  3. I Worker, VM Azure Linux istanziate per eseguire il backup e il ripristino delle macchine virtuali su e da BLOB Storage, nonché le operazioni di recupero a livello di singolo file. Essi, vengono avviati e dismessi automaticamente da Veeam Backup for Microsoft Azure.

1. Il compito del Controller Server è quello di gestire tutte le componenti dell’infrastruttura di backup, la schedulazione delle policy di protezione, coordinare la creazione delle snapshot, il backup e il ripristino delle virtual machines in Azure. Una volta terminato il deployment potrai connetterti tramite browser ed avere accesso all’interfaccia amministrativa di Veeam Backup for Microsoft Azure.

2. Se desideri archiviare i backup su Azure BLOB Storage dovrai aggiungere almeno un Backup Repository all’infrastruttura. Dovrai abbinare un repository ad una cartella esistente in un BLOB Container definito all’interno di uno Storage Account Azure.

3. Per quanto riguarda i Worker, ognuno di essi gestisce i dati di una VM alla volta. Se opti per una policy di backup contenente 10 macchine virtuali, Veeam Backup for Microsoft Azure potrà istanziare fino a 10 Worker.
Il Controller Server può decidere automaticamente come crearli in occasione di backup o ripristini verso o da Backup Repository (BLOB Storage). Oppure può seguire impostazioni personalizzate definite dall’utente. Di default la configurazione è automatica: prevede al massimo 5 Worker creati nella Region dove è collocato lo Storage Account del Backup Repository. In alternativa, puoi anche definire una serie di parametri personalizzati specifici per una Region Azure, come il numero minimo o massimo di Worker simultanei, le loro dimensioni (in base ai template Azure) e le impostazioni di rete. Sia per la configurazione automatica che per quella personalizzata, ogni Worker ha un periodo massimo di inattività di 10 minuti: trascorso questo periodo di tempo viene automaticamente rimosso.

Se desideri aumentare il livello di sicurezza, puoi collocare i backup in una Region alternativa rispetto a quella in cui sono presenti le VM.

Di seguito, scopriremo come installare, configurare Veeam Backup for Microsoft Azure e proteggere le tue VM in Azure.

IMPORTANTE: si presuppone una buona conoscenza dei concetti base di amministrazione di Microsoft Azure.

Come installare Veeam Backup for Microsoft Azure
Per iniziare accedi al Marketplace di Azure utilizzando il seguente link: https://azuremarketplace.microsoft.com/en-us/marketplace/apps/veeam.azure_backup_free?tab=Overview

e clicca su “GET IT NOW”.

Dopo il login con account amministrativo, alla pagina Veeam Backup for Microsoft Azure clicca su “Create”.

Alla sezione Basic, seleziona la sottoscrizione su cui desideri effettuare il deployment della VM di Veeam Backup per Microsoft Azure; alla casella Resource group seleziona un gruppo esistente o clicca su Create new per crearne uno nuovo.
Per ulteriori informazioni clicca il seguente link: https://docs.microsoft.com/it-it/azure/azure-resource-manager/management/manage-resource-groups-portal.

Rinomina la VM, seleziona la Region di appartenenza (https://azure.microsoft.com/it-it/global-infrastructure/regions/) ed eventualmente una delle Availability options (https://docs.microsoft.com/it-it/azure/virtual-machines/windows/availability).

Assicurati che sia selezionata l’immagine “Veeam Backup for Microsoft Azure”.

L’opzione Azure Spot Instance non deve essere abilitata
(https://azure.microsoft.com/it-it/pricing/spot/).

Tenendo conto che i requisiti minimi sono di 2 vCPU e 4GB di RAM, seleziona la dimensione più adatta (l’installer sceglie quella ottimale).

Clicca su Password e inserisci un nome e una password per l’account che avrà accesso alla console.

Fai click su Next: Discs.

Alla sezione OS disk type seleziona l’opzione Premiun SSD per ottenere performance migliori.

Clicca su Next: Networking.

Seleziona o crea la Virtual Network, la Subnet, il Public IP e il Network security group che vuoi vengano abbinati alla VM di Veeam Backup for Microsoft Azure. Per maggiori info consulta i seguenti link:
https://docs.microsoft.com/it-it/azure/virtual-network/virtual-networks-overview;
https://docs.microsoft.com/it-it/azure/virtual-network/security-overview.

Per abilitare un throughput elevato e una minore latenza sull’interfaccia di rete, seleziona l’opzione Accelerated networking.

Assicurati che l’opzione Place this virtual machine behind an existing load balancing solution? sia impostata su No.

Clicca su Review + create.

Controlla i parametri impostati e fai click su Create.

Come configurare Veeam Backup for Microsoft Azure

Concluso il deployment, alla sezione Overview della VM, segnati il Public IP address.

Utilizzando l’indirizzo IP appena annotato, dal browser accedi alla console: inserisci nome utente e password decisi in fase di installazione e fai click su Log in.

Dopo aver letto ed accettato il License Agreement, avrai accesso alla console di gestione.

Clicca su Add Microsoft Azure Connection.

Per accedere alle risorse di Azure, quali sottoscrizioni, gruppi di risorse, account di archiviazione, ecc…, Veeam Backup for Microsoft Azure utilizza un account di servizio Microsoft Azure (Azure AD Application).

Nella pagina Add Azure Account inserisci un nome ed una descrizione per identificare l’account di servizio Azure (sono informazioni indicative), poi clicca su Next.

Alla pagina successiva, Select service account type to use, seleziona una delle due opzioni:

  1. Create service account automatically, l’account viene creato dal Veeam Backup for Microsoft Azure;
  2. Specify existing service account, per selezionarne uno già esistente.

Per maggiori info, ti rimandiamo al seguente link: https://docs.microsoft.com/it-it/azure/active-directory-domain-services/create-gmsa.

Nel tuo caso, seleziona Create service account automatically e fai click su Next.

Nella pagina Logon to Microsoft Azure, clicca su Copy code to clipboard e poi sul link https://microsoft.com/devicelogin.

Nella pagina del portale Microsoft, incolla il codice appena copiato e fai click su Next.

Inserisci le tue credenziali di accesso amministrativo ad Azure.

In seguito, torna alla console di Veeam Backup for Microsoft Azure e clicca su Next.

Nella pagina Set application Group, puoi anche inserire il service account precedentemente individuato in un gruppo Azure Active Directory esistente. Ciò ti consente di accedere alle risorse di tale gruppo quando andrai a definire le policy di backup.

Fai click su Next e nella pagina Summary clicca Finish.

Alla sezione Accounts, nell’area Configuration, vedrai l’account appena creato.

Per far si che Veeam Backup for Microsoft Azure possa archiviare i backup, devi configurare almeno un repository BLOB Storage.

Supponiamo che sia disponibile uno Storage Account di Azure (nell’esempio chiamato vbazuredemostorage) al cui interno sia stato creato un Container (nell’esempio vbazurerepo).
Per maggiori info consulta il seguente link: https://docs.microsoft.com/it-it/azure/storage/blobs/storage-blobs-introduction.

Fai click su Repositories e successivamente su Add.

Nella pagina Add Repository inserisci un nome ed una descrizione (come detto sopra, sono informazioni puramente indicative), poi clicca su Next.

Nella pagina Choose account to connect to Azure repository, assicurati che sia selezionato l’account di servizio precedentemente creato, poi clicca su Next.

Nella pagina Choose storage account, seleziona l’account di archiviazione Azure contenente il container BLOB e clicca Next.

Nella pagina Choose Microsoft Azure blob storage container seleziona il container che desideri utilizzare come repository e fai click su Next.

Nella pagina Specify folder options seleziona una cartella esistente oppure creane una nuova (nell’esempio, Rome-Backups) e clicca su Next.

Se desideri utilizzare la crittografia per proteggere i dati di backup, seleziona l’opzione Enable encryption: inserisci una password e un suggerimento per aiutarti a ricordarla.
In seguito, clicca su Next.

Nella pagina successiva fai click su Finish.

OPZIONALE: se desideri configurare le impostazioni di notifica via e-mail, fai click su Settings nella consolle.

Nella scheda E-mail Settings, seleziona la casella di controllo Enable e-mail notifications.

Nel campo SMTP Server, specifica un nome DNS o un indirizzo IP del server SMTP che desideri utilizzare. Da questo server verranno inviate tutte le notifiche e-mail, inclusi i messaggi di prova, e i rapporti giornalieri.

Per specificare le credenziali dell’utente e le impostazioni di connessione fai click su Advanced.
Maggiori info al link: https://helpcenter.veeam.com/docs/vbazure/guide/adding_standard_account.html?ver=10.

Infine, fai click su Save.

Come creare una policy di backup

Per effettuare il backup di una o più VM presenti su Azure, recati alla console di Veeam Backup for Microsoft Azure e fai click su Policies e poi su Add.

Nella pagina Add Policy, inserisci un nome ed una descrizione e clicca su Next.

Seleziona la Azure Active Directory di riferimento e fai click su Next.

Nella pagina Select regions, con il pulsante Add o con il pulsante Remove, aggiungi o rimuovi le Region Azure in cui sono presenti le VM di cui vuoi fare il backup.

Nella pagina Specify resources to protect fai click su All resources per proteggere tutte le VM della Region selezionata. Facendo click su Protect the following resources e poi su Add specifichi, invece, il tipo di risorsa (sottoscrizioni, gruppi di risorse, tag, VM).

Nell’esempio, è stato selezionato il tipo Virtual Machines e poi due VM specifiche: srv-webapp-01 e srv-ubu-01.

Fai click su Next. Nella pagina seguente, puoi aggiungere (Add) o rimuovere (Remove) le risorse che non vuoi includere nella policy. Tutto ciò ha senso se hai scelto di individuare le risorse attraverso un contenitore (sottoscrizione, gruppo di risorse) o un tag.
In seguito, fai click su Next.

Nella pagina Specify Snapshot Settings puoi scegliere se effettuare una protezione delle VM attraverso snapshot native, decidere quanti punti di ripristino conservare per ogni VM e se programmare l’esecuzione automatica dell’operazione.

Clicca Next.

Nella pagina Specify Backup Settings puoi scegliere se effettuare il backup delle VM su BLOB Storage, la durata della retention del backup per ciascuna VM e se programmare l’esecuzione automatica dell’operazione.

Un importante vantaggio dato dai backup su BLOB Storage è che potrai interagirci utilizzando la console di Veeam Backup & Replication per organizzare copie e/o ripristini on-premises.

Clicca su Next.

Nella pagina Cost estimation per month potrai vedere una stima dei costi mensili imputati da Microsoft relativi a:

  • Creazione gestione delle snapshot;
  • Occupazione dello spazio BLOB Storage legato ai backup;
  • Traffico eventualmente legato al backup fra regioni differenti;
  • Transazioni generate dalle richieste API effettuate verso Azure.

Seleziona Next.

Nella pagina Policy Settings, puoi decidere se effettuare (e quanti) nuovi tentativi di esecuzione delle procedure di backup in caso di errore. Inoltre, puoi decidere se ricevere notifiche via e-mail relative all’esecuzione della policy.

Clicca su Next e in seguito su Finish.

Nella console vedrai la policy che hai appena creato.

Seleziona la policy e clicca su Start.


Le informazioni presenti in questo post, sono prese dall’articolo: https://www.ictpower.it/sistemi-operativi/veeam-backup-for-microsoft-azure.htm.

Configurare la sincronizzazione selettiva delle password con AADConnect

In questo articolo vedremo come configurare AADConnect per sincronizzare l’hash delle password in Azure AD, per uno specifico gruppo di utenti.

In generale, possiamo suddividere i clienti in due tipologie:

  • quelli che vogliono utilizzare la modern identity per le applicazioni cloud e decidono di sincronizzare gli hash da un sistema di identità on-premise (Active Directory);
  • quelli che non sono a proprio agio con la sincronizzazione dell’hash delle password sul cloud pubblico ed utilizzano i metodi tradizionali per l’accesso alle app cloud come l’ADFS.

In questo blog, ci focalizzeremo in particolare su questo secondo gruppo di clienti che predilige un approccio graduale alla modern identity e procede a step iniziando da un piccolo set di utenti per la sincronizzazione.

Facciamo un esempio: i clienti potrebbero volere che alcuni utenti abbiano l’hash delle password solo su Azure.
Gli scenari sono dei più vari: ad esempio, supportare le applicazioni basate su Kerberos in Azure AD e modificare l’approccio della migrazione per le applicazioni cloud.
Il metodo di sincronizzazione dell’hash delle password ti offre numerosi vantaggi ed abilita le applicazioni alla Modern cloud identity.
Ti rimandiamo al seguente articolo per maggiori informazioni: https://docs.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-password-hash-synchronization#how-password-hash-synchronization-works.

Approccio
Per gli utenti che vogliono sincronizzare l’hash della password su Azure AD, utilizzeremo l’attributo AD “adminDescription” come filtro. In questo esempio sincronizzeremo la password quando il valore ‘adminDescription’ dell’utente sarà uguale a ‘SyncHash‘.
Creeremo due regole custom di sincronizzazione in AADConnect:

  • La prima che sincronizzerà gli utenti e le loro password hashes;
  • La seconda che sincronizzerà solo gli utenti.

La regola di default con il password sync abilitato, verrà disabilitata.

IMPORTANTE: consigliamo di effettuare le operazioni dapprima in ambiente Dev/Test.

Riepilogo modifiche:
Di seguito riassumiamo le attività che devi eseguire per configurare AADConnect per la sincronizzazione selettiva dell’hash delle password:

  • Disabilitare la regola di default con la sincronizzazione dell’hash delle password.
  • Creare le due regole di sincronizzazione personalizzate che sincronizzeranno gli utenti con Azure AD: una con l’hash delle password e una senza.
  • Abilitare la sincronizzazione tramite la procedura guidata di configurazione di AAD Connect.
  • Convalidare la sincronizzazione delle password.

Passaggi:

  1. Sul server AADConnect, assicurati che la voce Password Hash Sync sia disabilitata.

2. Apri il Synchronization Rules Editor ed imposta il “Password Sync” su “On” ed il ” Rule Type” su “Standard”.

3. Seleziona la regola “In from AD – User AccountEnabled” e fai click su “Edit”. Ti apparirà un popup che suggerisce di creare una copia modificabile e di disabilitare la regola originale. Fai click su “Yes“.

  1. Prima di tutto, configura la regola di sincronizzazione senza l’hash delle password.
  • Dai un nome alla regola, ad es. “In from AD – User AccountEnabled – No Pass Sync”.
  • Cambia la precedence in ’99’ o nel valore minimo disponibile.
  • Mantieni entrambe le caselle “Enable Password Sync” e “Disabled” senza flag e fai click su “Next”.

Nella schermata “Scoping filter” fai click su “Add clause” e seleziona “adminDescription” “NOTEQUAL” “SyncHash”. Poi, clicca su “Next”.

  1. Nelle schermate “Join Rules” e “Transformations” non ti viene richiesta nessuna modifica. Fai click su “Save”.
  2. Verrà creata una nuova regola personalizzata senza Password Hash sync.

8. Ora vediamo come creare la regola personalizzata con la sincronizzazione dell’hash delle password abilitata.
Ancora una volta, cerca la regola standard “In from AD – User AccountEnabled“, selezionala e fai click su “Edit”.
Clicca “Yes” quando ti viene richiesto di creare una nuova regola.

9. Come indicato nella procedura precedente:

  • Dai un nome alla regola, ad es. “In from AD – User AccountEnabled – Pass Hash Sync“.
  • Cambia la precedence in ’98’ o nel valore minimo disponibile.
  • Seleziona la casella di “Enable Password Sync” e fai click su “Next”.

10. Nella schermata “Scoping filter“, fai click su “Add clause” e seleziona “adminDescription” “EQUAL” “SyncHash” e clicca su “Next”.

11. Nelle schermate “Join Rules” e “Transformations” non ti viene richiesta alcuna modifica. Fai click su “Save”.

12. Assicurati di avere abilitato una sola regola per la sincronizzazione delle password. Mantieni la regola standard “In from AD – User AccountEnabled” disabilitata per ricevere il flusso dell’hash delle password solo dalla personalizzazione che hai appena creato.

13. Per confermare l’applicazione delle regole, esegui “Full Sync Preview” per utenti casuali con e senza il flag “adminDescription” aggiornato.

14. Gli utenti con “AdminDescription” equals “SyncHash” dovrebbero avere la regola “Pass Hash Sync” applicata.

15. Gli utenti senza flag “AdminDescription” dovrebbero avere la regola “No Pass Sync” applicata.

16. Dopo la convalida tramite “Full Sync preview”, esegui “Full Sync Cycle” per consentire a tutti gli utenti di utilizzare le nuove regole personalizzate.

Start-ADSyncSyncCycle -PolicyType Initial

17. Al termine del Full Sync, assicurati che le regole siano state applicate per tutti gli utenti. A questo punto, potrai abilitare la sincronizzazione dell’hash delle password tramite la procedura guidata di configurazione di AAD Connect.

18. Per confermare che gli utenti con il flag ‘adminDescription’ stanno sincronizzando la password in Azure, cerca i seguenti event log sul server AAD Connect.

Event IDEsempio di eventoCausa
656Password Change Request – Anchor : H552hI9GwEykZwof74JeOQ==, Dn : CN=Viola Hanson,OU=Cloud Objects,DC=contoso,DC=local, Change Date : 05/01/2013 16:34:08La sincronizzazione della password indica che è stata rilevata una modifica e tenta di sincronizzarla con Azure AD. Ciò identifica l’utente o gli utenti la cui password è stata cambiata. Ogni lotto contiene almeno un utente fino ad un massimo di 50.
657Password Change Result – Anchor: eX5b50Rf+UizRIMe2CA/tg==, Dn : CN=Viola Hanson,OU=Cloud Objects,DC=contoso,DC=local, Result : Success.Utenti la cui password è stata sincronizzata correttamente.

Le informazioni presenti in questo post, sono prese dall’articolo: https://techcommunity.microsoft.com/t5/core-infrastructure-and-security/configure-selective-password-synchronization-with-aadconnect/ba-p/1459434