Aggiornamenti alle impostazioni di creazione dei gruppi nell’Azure AD Admin Center

La notifica del centro messaggi MC275349 (3 agosto) informa gli amministratori della necessità di controllare le impostazioni per la creazione di gruppi nell’interfaccia di amministrazione di Azure AD. In precedenza, queste impostazioni regolavano la capacità degli utenti di creare nuovi gruppi di sicurezza e gruppi di Microsoft 365 tramite l’interfaccia di amministrazione di Azure AD. Tuttavia, l’impostazione non regolava altre interfacce amministrative come PowerShell o l’API Microsoft Graph Groups. Le nuove impostazioni (Figura 1) coprono tutte le interfacce amministrative e sono ora disponibili.

Microsoft consiglia di controllare le impostazioni del tenant per assicurarsi che la modifica non abbia influito sul modo in cui l’organizzazione gestisce la creazione dei gruppi.

Controlli specifici per gruppi

Le impostazioni di Azure AD si applicano alle interfacce amministrative. Esistono altri controlli a livello di applicazione. Il miglior esempio di ciò è Microsoft 365 Groups, che usa un criterio di directory di Azure AD per archiviare le impostazioni usate per controllare diversi aspetti dei gruppi. Il valore predefinito per l’impostazione EnableGroupCreation è True, il che significa che qualsiasi utente può creare un nuovo gruppo Microsoft 365. Se False, entra in gioco l’impostazione GroupCreationAllowedGroupId. Questo definisce il GUID di un gruppo i cui membri possono creare nuovi gruppi.

Il controllo della creazione di gruppi mediante questo modo richiede le licenze di Azure AD P1 Premium.

Ciò che è un po’ più problematico per alcuni è la mancanza di una GUI per controllare la maggior parte delle impostazioni dei criteri (i criteri di denominazione e le impostazioni delle parole bloccate sono disponibili nell’interfaccia di amministrazione di Azure AD). La mancanza di una GUI completa significa che gli amministratori devono usare PowerShell per accedere e aggiornare le altre impostazioni dei criteri, inclusa la creazione di gruppi.

Ad esempio, per scoprire l’insieme di utenti autorizzati a creare gruppi e il nome del gruppo definito nella policy, è possibile utilizzare questo codice:

$Values = Get-AzureADDirectorySetting | ?{$_.DisplayName -eq “Group.Unified”}

$GroupId = $Values.Values |?{$_.Name -eq “GroupCreationAllowedGroupId” } | Select -ExpandProperty Value

Write-Host (“The name of the group defined by policy to control group creation is {0} and its object identifier is {1}” -f (Get-AzureADGroup -ObjectId $GroupId).DisplayName, $GroupId)

Get-AzureADGroupMember -ObjectId $GroupId

The name of the group defined by policy to control group creation is GroupCreationControl and its object identifier is 12cb915b-2365-4bed-baf6-6257b3543273

ObjectId                             DisplayName                 UserPrincipalName                     UserType

——–                             ———–                 —————–                     ——–

bff4cd58-1bb8-4898-94de-795f656b4a18 Tony Redmond                Tony.Redmond@office365itpros.com      Member

edc6b121-44b8-4261-9ca7-3603a16caa3e Andy Ruth (Director)        Andy.Ruth@office365itpros.com         Member

43d08764-07d4-418c-8203-a737a8fac7b3 Global Tenant Administrator GblAdmin@office365itpros.com          Member

Per modificare il gruppo utilizzato per controllare la creazione dello stesso, bisogna aggiornare la politica della directory. Ad esempio, questo codice recupera i valori per il gruppo che si vuole usare e le impostazioni correnti e usa i valori con il cmdlet Set-AzureADDirectorySettin per aggiornare i criteri di directory.

$ObjectId = (Get-AzureADGroup -SearchString “Group Creation Allowed”).ObjectId

$Settings = Get-AzureADDirectorySetting | ? {$_.DisplayName -eq “Group.Unified”}

$Settings[“GroupCreationAllowedGroupId”] = $ObjectId

Set-AzureADDirectorySetting -Id $Settings.Id -DirectorySetting $Settings

Creazione Outlook

L’ impostazione GroupCreationEnabled nel criterio cassetta postale OWA assegnato alle cassette postali era il meccanismo di controllo originale per la creazione di gruppi (OWA è stato il primo client a supportare i gruppi di Office 365, come sono stati denominati nel 2014). Questa impostazione persiste oggi e deve essere True per consentire agli utenti di creare nuovi gruppi con un client Outlook.

Poco impatto

Le modifiche apportate non influenzeranno molti dei tenat che controllano la creazione di un gruppo. In ogni caso, il cambiamento è ragionevole da introdurre, anche se necessita l’attenzione di Microsoft ad alcune evidenti carenze, come la mancanza di una GUI per la politica della directory dei gruppi.


Le informazioni presenti in questo post sono prese dall’articolo “Updates to Group Creation Settings in Azure AD Admin Center

Azure Virtual Desktop: la piattaforma VDI ideale per un’ambiente di lavoro ibrido

Quando Microsoft ha lanciato Windows Virtual Desktop quasi due anni fa, nessuno aveva previsto che una pandemia globale avrebbe costretto milioni di lavoratori a lasciare l’ufficio e lavorare da casa. Le aziende di tutto il mondo hanno migrato importanti app e dati nel cloud per continuare ad essere produttivi. Per supportare la nuova forza lavoro remota, molti si sono rivolti a Windows Virtual Desktop per offrire agli utenti un’esperienza di personal computing sicura, facile da gestire e produttiva con Windows 10.

Nel prossimo futuro, le imprese dovranno far fronte ad una serie di scenari lavorativi in continua evoluzione: dal lavoro remoto al lavoro ibrido. Per aiutare clienti e partner a soddisfare queste nuove esigenze di lavoro, Microsoft sta espandendo la sua visione per diventare una piattaforma cloud VDI, flessibile per quasi tutti i casi d’uso e accessibile praticamente da qualsiasi luogo. Una moderna piattaforma VDI deve essere sicura, scalabile e facile da gestire, offrendo allo stesso tempo un’esperienza fluida. Dovrebbe inoltre fornire alle organizzazioni la flessibilità di personalizzare e creare soluzioni con la sua tecnologia di base.

Per supportare questa visione più ampia e le mutevoli esigenze dei clienti, il colosso di Redmond ha annunciato nuove funzionalità, nuovi prezzi per lo streaming delle app e un nuovo nome al servizio di Windows Virtual Desktop: Azure Virtual Desktop.

Nuove funzionalità della piattaforma per la sicurezza e la gestione

Microsoft è lieta di annunciare l’anteprima pubblica di nuove funzionalità che aiuteranno le aziende a eseguire l’onboarding e a gestire meglio la distribuzione di Azure Virtual Desktop.

  • Supporto avanzato per Azure Active Directory: Azure Active Directory è un servizio fondamentale utilizzato dalle organizzazioni di tutto il mondo per gestire l’accesso degli utenti ad app e dati importanti e mantenere solidi controlli di sicurezza. Presto, sarà possibile unire le macchine virtuali Azure Virtual Desktop direttamente ad Azure Active Directory (AAD) e connettersi alle VM da qualsiasi dispositivo con credenziali di base. Si potrà anche registrare automaticamente le macchine virtuali con Microsoft Endpoint Manager. Per determinati scenari, ciò consentirà di eliminare la necessità di un controller di dominio, ridurre i costi e semplificare la distribuzione. Sebbene questa sia una pietra miliare importante, è solo l’inizio del viaggio verso la piena integrazione con Azure Active Directory. Microsoft continuerà ad aggiungere nuove funzionalità come il supporto per Single Sign-On, ulteriori tipi di credenziali come FIDO2 e Azure Files per gli utenti cloud.
  • Gestione di macchine virtuali multisessione Windows 10 Enterprise con Microsoft Endpoint Manager: Microsoft Endpoint Manager consente di gestire i criteri e distribuire le applicazioni tra i dispositivi. Ora è possibile registrare macchine virtuali multisessione di Windows 10 Enterprise in Microsoft Endpoint Manager e gestirle nell’interfaccia di amministrazione di Microsoft Endpoint Manager allo stesso modo dei dispositivi fisici condivisi. Ciò semplifica la gestione e fornisce una vista centralizzata sia sui device fisici che sui desktop virtuali. Qui la documentazione multisessione di Windows 10 Enterprise per saperne di più.
  • Distribuzione rapida con la nuova esperienza di onboarding: in arrivo un’esperienza di onboarding semplificata per Azure Virtual Desktop nel portale di Azure. Questa nuova esperienza convaliderà i requisiti, avvierà una distribuzione automatizzata e implementerà anche le migliori pratiche. Con pochi clic sarà possibile configurare un ambiente desktop virtuale di Azure completo nella sottoscrizione di Azure.

Nuove opzioni di prezzo per lo streaming remoto delle app

Molte aziende utilizzano Azure Virtual Desktop per eseguire lo streaming di app ai propri dipendenti. Ma molte organizzazioni desiderano utilizzare Azure Virtual Desktop anche per fornire applicazioni “as-a-service” anche a clienti e partner aziendali.

Microsoft ha annunciato un’opzione di prezzo mensile per utente, per consentire alle organizzazioni di utilizzare Azure Virtual Desktop per fornire app dal cloud a utenti esterni. Ad esempio, ciò consentirebbe ai fornitori di software di fornire la propria app come soluzione SaaS, da cui possono accedere i propri clienti. Oltre al prezzo mensile per utente per Azure Virtual Desktop, le organizzazioni pagheranno anche per i servizi di infrastruttura di Azure in base all’utilizzo.

Periodo promozionale di prova

La nuova opzione di prezzo per utente entrerà in vigore il 1° gennaio 2022. Per aiutare le organizzazioni a iniziare subito, Microsoft offre una promozione speciale gratuita per accedere a Azure Virtual Desktop per lo streaming di applicazioni proprietarie o di terze parti agli utenti esterni. Questa promozione è valida dal 14 luglio 2021 al 31 dicembre 2021.

Il prezzo in vigore dal 1° gennaio 2022 sarà:

• $ 5,50 per utente al mese (app)

• $ 10 per utente al mese (app + desktop)

Questa promozione si applica solo per l’accesso degli utenti esterni. Per maggiori dettagli .

Ecosistema di partner

In qualità di piattaforma VDI cloud, Microsoft lavora a stretto contatto con i suoi partner e permette loro di creare soluzioni che soddisfino le esigenze dei clienti. Ad esempio, Citrix e VMware forniscono soluzioni di virtualizzazione di desktop e app che sfruttano le funzionalità della piattaforma Azure Virtual Desktop, come Windows 10 Enterprise multisessione, e consentono di massimizzare gli investimenti esistenti e utilizzare gli strumenti e le soluzioni con cui si ha già familiarità. Su Azure Marketplace è possibile avere ulteriori informazioni sulle soluzioni dei partner.


Le informazioni presenti in questo post, sono prese dall’articolo: https://azure.microsoft.com/en-us/blog/azure-virtual-desktop-the-desktop-and-app-virtualization-platform-for-the-hybrid-workplace/

In arrivo Azure Monitor per Windows Virtual Desktop in public preview

Microsoft è entusiasta di annunciare l’anteprima pubblica di Azure Monitor per Windows Virtual Desktop. La piena osservabilità è fondamentale per garantire che i dipendenti non abbiano interruzioni o problemi di prestazioni con i loro desktop virtuali. Azure Monitor fornisce una visualizzazione centralizzata per il monitoraggio della telemetria e delle visualizzazioni di cui i professionisti IT devono eseguire il debug e risolvere i problemi.

Con questa nuova feature è possibile:

  • Visualizzare un riepilogo dello stato e dell’integrità del pool di host;
  • Trovare e risolvere i problemi nella distribuzione, inclusi errori principali, problemi di connettività, diagnostica host, problemi di prestazioni, informazioni sui client e altro ancora;
  • Diagnosticare il feedback degli utenti esaminando i dati per utente;
  • Comprendere l’utilizzo delle risorse per prendere decisioni sulla scalabilità e sulla gestione dei costi.
Azure Monitor per Windows Virtual Desktop è disponibile nell’hub Windows Virtual Desktop in Insights.

Per iniziare con le istruzioni di configurazione, la terminologia, i concetti pertinenti e la risoluzione dei problemi visita la guida pratica.


Le informazioni presenti in questo post, sono prese dall’articolo: https://tinyurl.com/y34oxszb

Importare ed esportare le impostazioni di configurazione di Azure AD Connect (public preview)

Le distribuzioni di Azure Active Directory (Azure AD) Connect variano da un’installazione in modalità Express a single forest a distribuzioni complesse che si sincronizzano su multiple forest usando regole di sincronizzazione personalizzate. A causa dell’elevato numero di opzioni e meccanismi di configurazione, è essenziale comprendere quali impostazioni sono attive ed essere in grado di implementare/distribuire rapidamente un server con una configurazione identica. Questa funzione introduce la possibilità di catalogare la configurazione di un determinato server di sincronizzazione e avviare le impostazioni in una nuova distribuzione. È possibile confrontare istantanee di impostazioni di sincronizzazione diverse per visualizzare facilmente le differenze tra due server o lo stesso server nel tempo.

Ogni volta che la configurazione viene modificata dalla procedura guidata di Azure AD Connect, un nuovo file di impostazioni JSON con data e ora viene esportato automaticamente in %ProgramData%\AADConnect. Il nome del file delle impostazioni è nel formato Applied-SynchronizationPolicy-*.JSON, dove l’ultima parte del nome è un timestamp.

IMPORTANTE: Solo le modifiche apportate da Azure AD Connect vengono esportate automaticamente. Eventuali modifiche apportate tramite PowerShell, Synchronization Service Manager o rules editor devono essere esportate su richiesta in base alle esigenze per mantenere una copia aggiornata. L’esportazione su richiesta può essere utilizzata anche per posizionare una copia delle impostazioni in un luogo sicuro in caso di ripristini d’emergenza.

Esportare le impostazioni di Azure AD Connect

Per visualizzare un riepilogo delle impostazioni di configurazione, apri Azure AD Connect e seleziona l’attività aggiuntiva denominata View or Export Current Configuration. Viene visualizzato un breve riepilogo delle impostazioni insieme alla possibilità di esportare la configurazione completa del server.

Di default, le impostazioni vengono esportate in %ProgramData%\AADConnec. È inoltre possibile scegliere di salvare le impostazioni in una posizione protetta per garantire la disponibilità in caso di emergenza. Le impostazioni vengono esportate utilizzando il formato di file JSON e non devono essere create o modificate manualmente per garantire la coerenza logica. L’importazione di un file creato o modificato manualmente non è supportata e potrebbe portare a risultati imprevisti.

Importare le impostazioni di Azure AD Connect

Per importare impostazioni precedentemente esportate:

  1. Installa Azure AD Connect su un nuovo server.
  2. Seleziona l’opzione Customize dopo la pagina di benvenuto.
  3. Seleziona Import synchronization settings.Cerca il file delle impostazioni JSON esportato in precedenza.
  4. Seleziona Install.
Screenshot that shows the Install required components screen

Nota: Sostituisci le impostazioni in questa pagina come l’uso di SQL Server invece di LocalDB o l’uso di un account di servizio esistente invece di un VSA predefinito. Queste impostazioni non vengono importate dal file delle impostazioni di configurazione. Sono disponibili a scopo informativo e di confronto.

Import installation experience

L’esperienza di importazione delle installazioni è intenzionalmente mantenuta semplice con input minimi da parte dell’utente per fornire facilmente la riproducibilità di un server esistente.

Le uniche modifiche che possono essere apportate durante l’installazione sono le seguenti (tutte le altre modifiche possono essere apportate dopo, dalla procedura guidata di Azure AD Connect):

  • Credenziali di Azure Active Directory: il nome dell’account per l’amministratore globale di Azure usato per configurare il server originale viene messo di default. Questo, deve essere cambiato se si desidera sincronizzare le informazioni in una nuova directory.
  • User sign-in: le opzioni di accesso configurate per il server originale sono selezionate come impostazione predefinita e richiedono automaticamente le credenziali o altre informazioni necessarie durante la configurazione. In rari casi, potrebbe essere necessario impostare un server con diverse opzioni per evitare di modificare il comportamento del server attivo. Altrimenti, basterà selezionare Next per utilizzare le stesse impostazioni.
  • Credenziali della directory on-premises: per ogni directory locale inclusa nelle impostazioni di sincronizzazione, è necessario fornire le credenziali per creare un account di sincronizzazione o fornirne uno personalizzato pre-creato. Questa procedura è identica all’esperienza di installazione base con l’eccezione che non è possibile aggiungere o rimuovere directory.
  • Opzioni di configurazione: come con un’installazione base, è possibile scegliere di configurare le impostazioni iniziali per avviare la sincronizzazione automatica o abilitare la modalità di gestione temporanea. La differenza principale è che la modalità di gestione temporanea è abilitata intenzionalmente di default per consentire il confronto dei risultati di configurazione e sincronizzazione prima di esportare attivamente i risultati in Azure.
Screenshot that shows the Connect your directories screen

Nota: Solo un server di sincronizzazione può avere il ruolo primario ed esportare attivamente le modifiche alla configurazione in Azure. Tutti gli altri server devono essere posti in modalità di gestione temporanea.

Migrare le impostazioni da un server esistente

Se un server esistente non supporta la gestione delle impostazioni, puoi scegliere di aggiornarlo o migrare le impostazioni per l’utilizzo su uno nuovo.

La migrazione richiede l’esecuzione di uno script di PowerShell che estrae le impostazioni esistenti per l’utilizzo in una nuova installazione. Utilizza questo metodo per catalogare le impostazioni del server esistente e quindi applicarle a uno di gestione temporanea appena installato. Il confronto delle impostazioni per il server originale con uno appena creato visualizzerà rapidamente le modifiche. Come sempre, segui il processo di certificazione della tua organizzazione per assicurarti che non sia necessaria alcuna configurazione aggiuntiva.

Processo di migrazione

Per migrare le impostazioni:

  • Avvia AzureADConnect.msi nel nuovo server di gestione temporanea e fermati alla pagina di benvenuto di Azure AD Connect.
  • Copia MigrateSettings.ps1 dalla directory Microsoft Azure AD Connect\Tools in una posizione sul server esistente. Un esempio è C:\setup.
Screenshot that shows Azure AD Connect directories.
  • Esegui lo script come mostrato qui e salva l’intera directory di configurazione del server di livello inferiore. Copia questa directory nel nuovo server di gestione temporanea. È necessario copiare l’intera cartella Exported-ServerConfiguration-* sul nuovo server.
  • Avvia Azure AD Connect facendo doppio clic sull’icona sul desktop. Accetta i termini della licenza software Microsoft e nella pagina successiva seleziona Customize.
  • Seleziona la casella Import synchronization settings. Clicca su Browse per esplorare la cartella copiata Exported-ServerConfiguration- *. Seleziona MigratedPolicy.json per importare le impostazioni migrate.
Screenshot that shows the Import synchronization settings option.

Verifica post-installazione

Il confronto dei file è un passaggio essenziale per comprendere eventuali differenze tra l’installazione prevista e quella risultante. Utilizzando l’applicazione di confronto dei testi affiancati si ottiene una visualizzazione istantanea che evidenzia rapidamente qualsiasi modifica desiderata o accidentale.

Sebbene molti passaggi di configurazione precedentemente manuali siano ora eliminati, si dovrebbe comunque seguire il processo di certificazione della propria azienda per garantire che non sia necessaria alcuna configurazione aggiuntiva. Questa configurazione potrebbe verificarsi se si utilizzano impostazioni avanzate, che non sono attualmente acquisite nella versione di public preview della gestione delle impostazioni.

Ecco le limitazioni note:

  • Regole di sincronizzazione: la precedenza per una regola personalizzata deve essere compresa tra 0 e 99 per evitare conflitti con le regole standard di Microsoft. Posizionare una regola personalizzata al di fuori dell’intervallo riservato potrebbe comportare lo spostamento di quest’ultima man mano che le regole standard vengono aggiunte alla configurazione. Un problema simile si verificherà se la configurazione contiene regole standard modificate.
  • Writeback del dispositivo: queste impostazioni sono catalogate. Non sono attualmente applicate durante la configurazione. Se il writeback del dispositivo è stato abilitato per il server originale, è necessario configurare manualmente la funzionalità sul server appena distribuito.
  • Tipi di oggetti sincronizzati: sebbene sia possibile limitare l’elenco dei tipi di oggetti sincronizzati (come utenti, contatti e gruppi) utilizzando la gestione servizio di sincronizzazione, questa funzionalità non è attualmente supportata tramite le impostazioni di sincronizzazione. Dopo aver completato l’installazione, è necessario riapplicare manualmente la configurazione avanzata.
  • Profili di esecuzione personalizzati: sebbene sia possibile modificare il set predefinito di profili di esecuzione utilizzando Synchronization Service Manager, anche questa funzionalità non è attualmente supportata tramite le impostazioni di sincronizzazione. Di nuovo, dopo aver completato l’installazione, è necessario riapplicare manualmente la configurazione avanzata.
  • Configurazione della gerarchia di provisioning: questa funzionalità avanzata di Synchronization Service Manager non è supportata tramite le impostazioni di sincronizzazione. Deve essere riconfigurato manualmente al termine della distribuzione iniziale.
  • Autenticazione Active Directory Federation Services (ADFS) e PingFederate: i metodi di accesso associati a queste funzionalità di autenticazione vengono preselezionati automaticamente. È necessario fornire in modo interattivo tutti gli altri parametri di configurazione richiesti.
  • Regola di sincronizzazione personalizzata disabilitata: una regola di sincronizzazione personalizzata disabilitata viene importata come abilitata. Assicurati di disabilitarlo anche sul nuovo server.

Le informazioni presenti in questo post, sono prese dall’articolo: https://tinyurl.com/y6rwaplf

Abilita l’accesso ad Azure AD con la posta elettronica come ID alternativo

Microsoft ha annunciato l’anteprima pubblica di una nuova feature: la possibilità di accedere ad Azure AD con la posta elettronica oltre che con l’UPN (UserPrincipalName). Nelle aziende in cui la posta elettronica e l’UPN non sono la stessa cosa, si può creare confusione per gli utenti che non possono utilizzare il proprio indirizzo mail per accedere. Con questa nuova funzionalità, puoi consentire ai tuoi utenti di accedere con il loro UPN o il loro indirizzo e-mail, evitando loro questo disguido.

Questa feature può essere abilitata impostando l’attributo AlternateIdLogin in HomeRealmDiscoveryPolicy. Utilizza le seguenti istruzioni per configurarlo nella tua organizzazione: https://tinyurl.com/y3og58lr

Al momento, molti stanno usando funzionalità in Azure Active Directory (Azure AD) Connect per raggiungere questo obiettivo, ma ciò richiede loro di impostare l’indirizzo di posta elettronica come UPN in Azure AD. Con questa nuova funzionalità, sarà possibile usare lo stesso UPN su Active Directory e Azure AD on-premises per ottenere la migliore compatibilità tra Office 365 e altri carichi di lavoro, consentendo comunque agli utenti di accedere con il loro UPN o e-mail.

Ci auguriamo che questa novità semplifichi l’esperienza di accesso a tutti gli end users.


Le informazioni presenti in questo post, sono prese dall’articolo: https://tinyurl.com/yypv5yer